[rlug] SElinux pe debian (sparc)

Gabriel VLASIU Wed, 27 Aug 2008 03:42:39 -0700

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Salut!

Poate sa-mi dea cineva niste idei despre comportamentul la selinux pe 
debian (sparc)?
Din pacate nu m
erge nici pe departe la fel ca pe fedora/RHEL. Cum sistemul 
are arhitectura sparc si aurora linux merge f prost (dupa saptamani 
intregi de portare servicii/aplicatii de pe rhel5 - recompilare rpm-uri 
etc.) am hotarat sa trec pe debian care se misca mai bine cel putin pe 
masina mea.

Revenind, in permisive mode primesc tot soiul de mesaje la tot soiul de 
service / comenzi ca mai jos:
avc:  denied  { execstack } for 
avc:  denied  { execmem } for  pid
etc.

Am setat variabilele allow_execmem, allow_execmod, allow_execstack pe on 
(permanent):
# setsebool -P variabila=on

Variabilele sunt setate OK, cel putin asa imi returneaza getsebool:
# getsebool -a | grep allow_exec
allow_execheap --> off
allow_execmem --> on
allow_execmod --> on
allow_execstack --> on

Problema este ca, chiar cu varabilele astea setate tot primesc aceleasi 
mesage in log-uri (singurul lucru pe care l-am observat ca functioneaza 
dupa modificarile de mai sus a fost sshd-ul).

Am facut un policy pentru postfix cu audit2allow si acum postfix-ul merge.
Ideea e ca nu pot face cate un policy pentru fiecare aplicatie.

Cand selinux e in enforced mode nici setsebool nu mai merge (de fapt 
majoriatea aplicatiilor nu mai merg):
# setsebool 
setsebool: error while loading shared libraries: libsepol.so.1: failed to map 
segment from shared object: Permission denied

/var/log/messages:
Aug 27 12:43:34 mailq kernel: audit(1219830214.558:127): avc:  denied  { 
execmem } for  pid=5329 comm="setsebool" 
scontext=root:system_r:semanage_t:s0-s0:c0.c1023 
tcontext=root:system_r:semanage_t:s0-s0:c0.c1023 tclass=process

SElinux este versiunea targeted iar debian este 40r4a.

Are cineva ceva idei cum sa scap de chestiile astea?
Multumesc.


Gabriel


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQFItS98eWrbH+aEIG4RAtBRAJ4wU99bTNjPMQI1XcwujSfM9LKhxQCfX/ZT
KanFQQBAQvvWG5rmicxLwuE=
=MLST
-----END PGP SIGNATURE-----

_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug

[rlug] SElinux pe debian (sparc)

Raspunde prin e-mail lui