On Thu, Sep 21, 2006 at 06:22:41PM +0300, lonely wolf wrote: > AFAIR, reiserfs v4 nu are suport adecvat pt extended attributes. > oricum, e f***ere de utere sa muti chestiile in alta parte decit e > convins selinux policy ca ar trebui sa le gaseasca
Nici nu era reiser4, era reiserfs (v3). Oricum modificasem policy-ul. Regulile erau super ok (exemplul pe care l-am dat cu sshd se repeta). Oricum, nu ar fi fost that big of a deal. Pur si simplu directorul trebuia sa aiba tipul user_home_dir_t (conform policy-ului default). Dar nu mergea. Chestia pe care n-am inteles-o este de ce mergea relabel si chcon. Security context-urile pentru fisiere ramaneau si dupa reboot. Si inca o intrebare care mi-a ramas fara raspuns: sa zicem ca vreau sa asociez fisierului /var/run/motd tipul motd_t. Nu intrebati "de ce?", este un simplu exemplu. /var/run are by default tipul var_run_t, chestie normala. Fiecare domeniu care are nevoie de chestii in /var/run are niste type_transition-uri definite. Sa luam ca exemplu sshd_t si dhcpd_t. Avem chestii de genul: type_transition sshd_t var_run_t:file sshd_var_run_t; type_transition dhcpd_t var_run_t:file dhcpd_var_run_t; Acum, /var/run/motd este creat de /etc/init.d/bootmisc.sh, care, presupun eu, ruleaza sub initrc_t. /var/run/utmp este creat tot de un context initrc_t. Solutia ar fi sa pun /etc/init.d/bootmisc.sh intr-un domain separat. Dar asta nu e singura chestie pe care bootmisc.sh o face. Si nu vreau ca celelalte chestii create (gen utmp) sa fie cu motd_t. Exemplul l-am dat pentru ca stiu ca nu ma exprim prea bine. Intrebarea e: mai pot face decizii de transition dupa alte reguli in afara de domeniul procesului, tipul obiectului asociat (i.e. al parintelui) si clasa obiectului (i.e. file, char device etc.)? Luci Stanescu _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
