Articles of selinux

SELinux – как этого избежать, не позволяя процессу получить доступ к записи вновь создаваемых файлов в папку

Я с трудом пытаюсь правильно использовать selinux поддерживая его в принудительном режиме, но очень часто я сталкиваюсь с проблемами, из-за которых наше приложение работает неправильно. Наше веб-приложение – это java-бэкэнд и angular интерфейс, развернутые на tomcat и apache httpd lucene использует lucene в качестве поисковой системы, которая создает файл в папке файловой системы каждый раз, […]

запретить неограниченному пользователю SELinux (root) устанавливать политику в систему

Я пытаюсь написать политику SELinux, которая после ее установки запретит неограниченному (или другому, который можно выбрать) пользователю любую последующую установку политики SELinux. Кажется, что есть несколько способов сделать это: Запретите использование полумодуля, чтобы пользователь не смог установить какую-либо политику. Semodule имеет тип SELinux “semanage_exec_t”. Я использую объектный переход домена здесь. с использованием classа безопасности SELinux. […]

Политика SELinux для Pi-Hole

Я использую Fedora Server 28 для ARM на моем Raspberry, и во время установки Pi-Hole я получил предупреждение о том, что SELinux настроен на «Принудительный», и из-за этого я не могу использовать страницу администратора Pi-Hole. Это действительно так, http: //pi.hole/ возвращает пустую страницу, и без отключения SELinux / установки разрешения на использование / etc / […]

SELinux блокирует веб-приложение tomcat для загрузки собственной библиотеки Java (JNI) из папки / tmp

У меня есть Centos 7 с Tomcat и пользователь Tomcat ls -l /var/lib/tomcat total 0 drwxrwxrwx. 5 root tomcat 84 Jul 3 13:18 webapps SELinux работает принудительно, и веб-приложение Java, которое пытается загрузить собственную библиотеку Java (JNI) из общих объектных файлов .so в папке / tmp / не может работать. java.lang.UnsatisfiedLinkError: /tmp/app/gdal_java/2018.07.03.14.52.59/libosrjni.so: /tmp/app/gdal_java/2018.07.03.14.52.59/libosrjni.so: failed to […]

Как предоставить доступ к каталогам с помощью утилиты песочницы SELinux?

Я пытаюсь запустить Tor Browser Bundle в песочнице SELinux. Я попытался сделать следующее, посмотрев на песочницу man : $ sandbox -X -H sehome -T tmp -I /run/user/1000/dbus-1/* \ -t sandbox_web_t ~/Downloads/tor-browser_en-US/* Результат: dbus[25624]: Unable to set up transient service directory: XDG_RUNTIME_DIR subdirectory “/run/user/1000/dbus-1” not available: Permission denied dbus-run-session: failed to exec ‘/home/redacted/Downloads/tor-browser_en-US/Browser’: Permission denied Очевидно, […]

Отправить письмо на нарушение SELinux

На моем рабочем столе я получаю уведомление GNOME, когда происходит нарушение SELinux, что делает отладку простой, но для серверов у меня ее нет. Можно ли каким-то образом настроить SELinux, чтобы в случае нарушения он отправлял мне электронное письмо с подробностями? ПРИМЕЧАНИЕ. У меня есть пара (2) серверов, на которых я бы хотел их развернуть.

restorecon ничего не делает на CentOS 7

В CentOS 7.5, Linux 3.10.0-862.3.2.el7.x86_64 я пытаюсь понять, как работает файловый контекст. ls -Z , chcon и semanage работают, как и ожидалось, но restorecon кажется упрямо молчать. Например: $ cd $ mkdir context $ ls -laZ drwxrwxr-x liteyear liteyear ? context $ chcon -v unconfined_u:object_r:user_home_t:s0 context $ ls -laZ drwxrwxr-x. liteyear liteyear unconfined_u:object_r:user_home_t:s0 context $ […]

Как заставить драйверы принтера Brother работать на Fedora?

У меня есть два принтера Brother: принтер этикеток QL-1050 (с USB-подключением) и MFC-9330CDW (Wi-Fi). Оба прекрасно работают с ноутбуком Ubuntu, но я изо всех сил пытаюсь заставить их печатать под Fedora 28 (на самом деле была та же проблема с F23, но так и не удалось ее решить). Я скачал официальные драйверы на сайте Brother: […]

ssh_selinux_change_context: сбой setcon с неверным аргументом

Я пытаюсь сделать ssh-связь с IP, но я получаю следующие сообщения об ошибках в журналах. Jun 5 11:36:50 thetemplate my-sshd[26346]: Accepted password for user1 from 172.80.1.2 port 34278 ssh2 Jun 5 11:36:50 thetemplate my-sshd[26346]: User child is on pid 27078 Jun 5 11:36:50 thetemplate my-sshd[27078]: ssh_selinux_change_context: setcon failed with Invalid argument Jun 5 11:36:50 thetemplate […]

Требуются ли оба смягчения, когда audit2allow предлагает и restorecon, и правило принудительного применения одного типа?

SELinux – это разрешительный режим, позволяющий избежать проблем с эксплуатацией при переходе на новое развертывание сервера RHEL7. Хотя некоторые проблемы с SELinux довольно легко анализировать и решать с некоторой долей уверенности, я нахожу следующее несколько озадачивающим. AVC выглядит следующим образом: type=AVC msg=audit(1533595368.668:140747): avc: denied { connectto } for pid=87400 comm=”postdrop” path=”/var/spool/postfix/public/pickup” scontext=system_u:system_r:postfix_postdrop_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=unix_stream_socket audit2why […]