debian.org / О Debian Где взять Debian Поддержка Уголок разработчика Новости Wiki

Автор Тема: [РЕШЕНО]apparmor/selinux или...?  (Прочитано 1464 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн user~21

  • Topic Author
  • Сообщений: 5
[РЕШЕНО]apparmor/selinux или...?
« : 08 Декабрь 2011, 13:24:00 »
По наслышке, не больше знаком с apparmor и selinux, но вот почему-то я не наблюдаю по умолчанию в squeeze не того, не другова.
Или может по умолчанию используется какая-то другая система безопасности? Что выбрать лучше, с учётом, что система используется на десктопе + маленького веб+p2p сервера для лок.сети?
« Последнее редактирование: 14 Декабрь 2011, 00:04:07 от Metrix »
 

Оффлайн SeHELLioN

  • Сообщений: 910
Re: apparmor/selinux или...?
« Ответ #1 : 08 Декабрь 2011, 14:06:39 »
selinux есть же в репозитории
Asus m5a97+Amd fx-8350+4x4GB DDR3 1600MGz+asus gtx670 DCII (перешита в top)
Debian stable
 

Оффлайн user~21

  • Topic Author
  • Сообщений: 5
Re: apparmor/selinux или...?
« Ответ #2 : 08 Декабрь 2011, 15:23:34 »
Ага. Вот попробовал поставить selinux. aptitude install selinux-basics selinux-policy-default selinux-utilsНо вот что-то не то...
# /etc/init.d/selinux-basics start
Checking SELinux contexts: selinux-basics
.
# sestatus
SELinux status:                 disabled
В чём дело?
 

Оффлайн Angel_ok

  • Интересующийся
  • Сообщений: 478
  • Lenovo E440 Debain 9 Gnome 3.22.2
Re: apparmor/selinux или...?
« Ответ #3 : 08 Декабрь 2011, 15:31:25 »

SELinux status:                 disabledВ чём дело?
Погуглите. Походу его надо включить командой
setenforce 1или
echo 1 > /selinux/enforce
Вы думаете, всё так просто? Да, всё просто. Но совсем не так…
                                                                                                          Альберт Эйнштейн
 

Оффлайн user~21

  • Topic Author
  • Сообщений: 5
Re: apparmor/selinux или...?
« Ответ #4 : 08 Декабрь 2011, 21:59:39 »
Да, разобрался вроде. Спасибо

# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          permissive
Policy version:                 24
Policy from config file:        default


Сообщение объединено: 10 Декабрь 2011, 15:57:57
Не могу подключатся к серверу по ssh. Пологаю причина именно где-то в selinux.

$ sudo getsebool -a
allow_execheap --> off
allow_execmem --> off
allow_execmod --> off
allow_execstack --> off
allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
allow_gssd_read_tmp --> on
allow_httpd_anon_write --> off
allow_httpd_git_script_anon_write --> off
allow_httpd_mod_auth_pam --> off
allow_httpd_sys_script_anon_write --> off
allow_httpd_user_script_anon_write --> off
allow_java_execstack --> off
allow_mount_anyfile --> off
allow_nfsd_anon_write --> off
allow_polyinstantiation --> off
allow_ptrace --> off
allow_rsync_anon_write --> off
allow_ssh_keysign --> off
allow_user_mysql_connect --> off
allow_user_postgresql_connect --> off
allow_write_xshm --> off
allow_ypbind --> off
clamd_use_jit --> off
cron_can_relabel --> off
daemon_access_unconfined_home --> on
exim_can_connect_db --> off
exim_manage_user_files --> off
exim_read_user_files --> off
fcron_crond --> off
ftp_home_dir --> off
global_ssp --> off
gpg_agent_env_file --> off
httpd_builtin_scripting --> off
httpd_can_network_connect --> off
httpd_can_network_connect_db --> off
httpd_can_network_relay --> off
httpd_can_sendmail --> off
httpd_dbus_avahi --> off
httpd_enable_cgi --> off
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> off
httpd_ssi_exec --> off
httpd_tty_comm --> off
httpd_unified --> off
httpd_use_cifs --> off
httpd_use_gpg --> off
httpd_use_nfs --> off
init_upstart --> off
mail_read_content --> off
mozilla_read_content --> off
mysql_connect_any --> off
nfs_export_all_ro --> off
nfs_export_all_rw --> off
pppd_can_insmod --> off
pppd_for_user --> off
rsync_export_all_ro --> off
secure_mode --> off
secure_mode_insmod --> off
secure_mode_policyload --> off
sftpd_anon_write --> off
sftpd_enable_homedirs --> off
sftpd_full_access --> off
ssh_sysadm_login --> on
use_lpd_server --> off
use_nfs_home_dirs --> off
use_samba_home_dirs --> off
user_direct_mouse --> off
user_dmesg --> off
user_manage_dos_files --> on
user_ping --> off
user_rw_noexattrfile --> off
user_tcp_server --> on
user_ttyfile_stat --> off
xdm_sysadm_login --> off
xserver_object_manager --> off


в логах что-то вроде

Dec 10 15:46:31 omega kernel: [ 1002.854560] type=1400 audit(1323517591.197:303): avc:  denied  { write } for  pid=5131 comm="xfconfd" name="xfce-perchannel-xml" dev=dm-0 ino=7004175 scontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir
Dec 10 15:46:31 omega kernel: [ 1002.854604] type=1400 audit(1323517591.197:304): avc:  denied  { add_name } for  pid=5131 comm="xfconfd" name="xfce4-desktop.xml.new" scontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir
Dec 10 15:46:31 omega kernel: [ 1002.854704] type=1400 audit(1323517591.197:305): avc:  denied  { create } for  pid=5131 comm="xfconfd" name="xfce4-desktop.xml.new" scontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:user_home_t:s0 tclass=file
Dec 10 15:46:31 omega kernel: [ 1002.854798] type=1400 audit(1323517591.197:306): avc:  denied  { write open } for  pid=5131 comm="xfconfd" name="xfce4-desktop.xml.new" dev=dm-0 ino=7004197 scontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:user_home_t:s0 tclass=file
Dec 10 15:46:31 omega kernel: [ 1002.854854] type=1400 audit(1323517591.197:307): avc:  denied  { getattr } for  pid=5131 comm="xfconfd" path="/home/denis/.config/xfce4/xfconf/xfce-perchannel-xml/xfce4-desktop.xml.new" dev=dm-0 ino=7004197 scontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:user_home_t:s0 tclass=file
Dec 10 15:46:31 omega kernel: [ 1002.893052] type=1400 audit(1323517591.237:308): avc:  denied  { remove_name } for  pid=5131 comm="xfconfd" name="xfce4-desktop.xml.new" dev=dm-0 ino=7004197 scontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir
Dec 10 15:46:31 omega kernel: [ 1002.893099] type=1400 audit(1323517591.237:309): avc:  denied  { rename } for  pid=5131 comm="xfconfd" name="xfce4-desktop.xml.new" dev=dm-0 ino=7004197 scontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:user_home_t:s0 tclass=file
Dec 10 15:46:31 omega kernel: [ 1002.893184] type=1400 audit(1323517591.237:310): avc:  denied  { unlink } for  pid=5131 comm="xfconfd" name="xfce4-desktop.xml" dev=dm-0 ino=7004224 scontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file
Dec 10 15:50:08 omega kernel: [ 1220.377035] type=1400 audit(1323517808.721:311): avc:  denied  { read write } for  pid=8208 comm="mii-tool" path="socket:[116540]" dev=sockfs ino=116540 scontext=system_u:system_r:ifconfig_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=tcp_socket
Dec 10 15:50:11 omega kernel: [ 1223.359106] type=1400 audit(1323517811.701:312): avc:  denied  { read write } for  pid=8485 comm="hostname" path="socket:[116540]" dev=sockfs ino=116540 scontext=system_u:system_r:hostname_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=tcp_socket
Dec 10 15:50:12 omega kernel: [ 1224.600494] type=1400 audit(1323517812.945:313): avc:  denied  { read write } for  pid=8545 comm="ping" path="socket:[116540]" dev=sockfs ino=116540 scontext=system_u:system_r:ping_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=tcp_socket
Dec 10 15:52:30 omega kernel: [ 1362.056474] type=1405 audit(1323517950.398:314): bool=user_tcp_server val=1 old_val=0 auid=4294967295 ses=4294967295
Dec 10 15:52:30 omega kernel: [ 1362.117844] type=1400 audit(1323517950.461:315): avc:  denied  { search } for  pid=5115 comm="dbus-daemon" name=".local" dev=dm-0 ino=6463683 scontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir
Dec 10 15:53:36 omega kernel: [ 1427.931354] type=1400 audit(1323518016.273:316): avc:  denied  { execute_no_trans } for  pid=8831 comm="dhclient" path="/usr/lib/NetworkManager/nm-dhcp-client.action" dev=dm-0 ino=13501187 scontext=system_u:system_r:dhcpc_t:s0 tcontext=system_u:object_r:lib_t:s0 tclass=file
Dec 10 15:55:07 omega kernel: [ 1519.036898] type=1400 audit(1323518107.382:317): avc:  denied  { read write } for  pid=9066 comm="mii-tool" path="socket:[140789]" dev=sockfs ino=140789 scontext=system_u:system_r:ifconfig_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=tcp_socket
Dec 10 15:55:10 omega kernel: [ 1522.022859] type=1400 audit(1323518110.365:318): avc:  denied  { read write } for  pid=9343 comm="hostname" path="socket:[140789]" dev=sockfs ino=140789 scontext=system_u:system_r:hostname_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=tcp_socket
Dec 10 15:55:11 omega kernel: [ 1523.245149] type=1400 audit(1323518111.590:319): avc:  denied  { read write } for  pid=9403 comm="ping" path="socket:[140789]" dev=sockfs ino=140789 scontext=system_u:system_r:ping_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=tcp_socket
Что я мог упустить?

Сообщение объединено: 10 Декабрь 2011, 19:46:03
Разобрался... Спасибо.
« Последнее редактирование: 10 Декабрь 2011, 19:46:03 от user~21 »
 

Теги: