Почему selinux запрещает запуск сервисов от default_t?

Создан новый каталог верхнего уровня, получив метку по умолчанию для новых каталогов верхнего уровня, default_t .

SELinux отказывает в запуске службы, если ExecStart – это программа, созданная в новом каталоге верхнего уровня ( /ansible-managed/ ).

Есть ли цель этого отрицания?

sealert предположил, что любая из следующих надписей была бы разрешена:

  • bin_t
  • boot_t
  • etc_runtime_t
  • etc_t
  • initrc_state_t
  • ld_so_t
  • lib_t
  • src_t
  • system_con
  • system_db_t
  • textrel_shlib_t
  • tmpfs_t
  • usr_t
  • var_run_t

поэтому мы можем исключить возможность того, что он блокирует кого-то, запускающего демона, из пользовательского места записи, например /dev/shm tmpfs_t ( tmpfs_t ).


Политика SELinux: selinux-policy-targ-3.13.1-225.18.fc25.noarch

  • Запретить создание каталогов, но разрешить создание файлов
  • SELinux не регистрируется нигде
  • SELinux + MergerFS (плавкий предохранитель) плохо работает вместе
  • SELinux не позволяет oddjobd-mkhomedir создавать пользовательский домашний каталог в нестандартном месте
  • Можно ли включить SELinux в модуль политики?
  • SELinux предотвращает автоматическое удаление ecryptfs
  • Терминал Gnome не запускается
  • selinux, dovecot и сито
  • 2 Solutions collect form web for “Почему selinux запрещает запуск сервисов от default_t?”

    Политика SELinux существует для определения политик того, что разрешено в системе. Когда вы создаете несколько разных файлов с общими метками, эта политика вполне разрешима, но предотвращает некоторые потенциальные угрозы.

    Единственная угроза не запускает что-то из /dev/shm , но запуск чего-то из потенциально загружаемых пользователем каталогов может быть очень опасным (особенно в случае, если демона работает как корень, не так ли?).

    Как правило, все новые службы / демоны в Fedora должны иметь некоторую политику SELinux, поэтому SELinux имеет хотя бы некоторый контроль над ними. Я бы порекомендовал вам сделать это, если это какое-то долгое время.

    Если это должна быть специальная служба, просто назначьте ей некоторую общую метку bin_t , которая должна это сделать. Или установите двоичные файлы в /opt/your-path/(s)bin/ и, возможно, настройте политику, чтобы правильно получить метки в дереве каталогов.

    поэтому мы можем исключить возможность того, что он блокирует кого-то, запускающего демона, из пользовательского места записи, например / dev / shm (tmpfs_t).

    неправильно.

    / dev / shm / помечен как tmpfs_t , но когда пользователь создает файл в /dev/shm/ он помечен как user_tmp_t .

    Linux и Unix - лучшая ОС в мире.