Почему selinux запрещает запуск сервисов от default_t?

Создан новый каталог верхнего уровня, получив метку по умолчанию для новых каталогов верхнего уровня, default_t .

SELinux отказывает в запуске службы, если ExecStart – это программа, созданная в новом каталоге верхнего уровня ( /ansible-managed/ ).

Есть ли цель этого отрицания?

sealert предположил, что любая из следующих надписей была бы разрешена:

  • bin_t
  • boot_t
  • etc_runtime_t
  • etc_t
  • initrc_state_t
  • ld_so_t
  • lib_t
  • src_t
  • system_con
  • system_db_t
  • textrel_shlib_t
  • tmpfs_t
  • usr_t
  • var_run_t

поэтому мы можем исключить возможность того, что он блокирует кого-то, запускающего демона, из пользовательского места записи, например /dev/shm tmpfs_t ( tmpfs_t ).


Политика SELinux: selinux-policy-targ-3.13.1-225.18.fc25.noarch

  • SELinux: определение каталога отказавшего файла
  • Как отредактировать файл и сохранить его список управления доступом / контекст безопасности SELinux?
  • Разрешение отказа 2ban отказано в скрипте
  • Контейнеры LXC в качестве среды песочницы
  • SSH AuthorizedKeysCommand и SELinux
  • применять надлежащие метки безопасности во время восстановления файловой системы
  • SELinux domain_auto_trans ()
  • Httpd не может получить доступ к файлу даже после установки httpd_sys_content_t
  • 2 Solutions collect form web for “Почему selinux запрещает запуск сервисов от default_t?”

    Политика SELinux существует для определения политик того, что разрешено в системе. Когда вы создаете несколько разных файлов с общими метками, эта политика вполне разрешима, но предотвращает некоторые потенциальные угрозы.

    Единственная угроза не запускает что-то из /dev/shm , но запуск чего-то из потенциально загружаемых пользователем каталогов может быть очень опасным (особенно в случае, если демона работает как корень, не так ли?).

    Как правило, все новые службы / демоны в Fedora должны иметь некоторую политику SELinux, поэтому SELinux имеет хотя бы некоторый контроль над ними. Я бы порекомендовал вам сделать это, если это какое-то долгое время.

    Если это должна быть специальная служба, просто назначьте ей некоторую общую метку bin_t , которая должна это сделать. Или установите двоичные файлы в /opt/your-path/(s)bin/ и, возможно, настройте политику, чтобы правильно получить метки в дереве каталогов.

    поэтому мы можем исключить возможность того, что он блокирует кого-то, запускающего демона, из пользовательского места записи, например / dev / shm (tmpfs_t).

    неправильно.

    / dev / shm / помечен как tmpfs_t , но когда пользователь создает файл в /dev/shm/ он помечен как user_tmp_t .

    Interesting Posts

    Сравнение между строками в Perl

    Как построить GTK2 в Mac OS X EI Captain?

    Переключить ключ к двум модификаторам или использовать мета-ярлыки в терминале (терминатор)

    Основы работы в сети: какой IP-адрес назначен сетевому адаптеру, если нет успешных переговоров по DHCP?

    Есть ли способ отменить модификацию истории bash?

    Использование diff для отображения как содержимого новых файлов, так и создания новых пустых файлов

    Переименуйте несколько файлов, подкаталогов и вставьте символы в определенном месте на OSX

    Поделитесь подключением wlan к ethernet с помощью командной строки

    Получение состояния веб-камеры linux через командную строку или API

    Как я могу запустить речь в текст и сохранить результат в переменной?

    GNU параллельна чрезмерно медленной

    sed – изменить линии, которые начинаются с одного данного слова и заканчиваются другим?

    Предотвращение записи большого файла при замораживании системы

    «На» рабочие места застряли?

    Почему перезагрузка / proc / sys не является глобальной или не сохраняется в пространстве имен в сети внутри LXC

    Linux и Unix - лучшая ОС в мире.