Форум программистов, компьютерный форум, киберфорум
Наши страницы
RedHat, Fedora, CentOS, ASP Linux
Войти
Регистрация
Восстановить пароль
 
 
ChildOfFlowers
11 / 11 / 6
Регистрация: 16.04.2012
Сообщений: 707
#1

Настройка Selinux - RedHat, Fedora Linux

14.05.2018, 11:28. Просмотров 261. Ответов 20
Метки нет (Все метки)

Не очень понятно, как усмирить этого монстра, чтобы он не блокировал всё, что только можно. Какие-то уж больно заумные настройки, никак не врублюсь в принцип работы.
Вот пара вопросов на практических примерах:
Делал шару на SMB. Соответственно, пришлось настраивать контекст безопасности для общей папки. Сделал по инструкции, но ничего толком не понял. Что такое контекст безопасности, и почему нельзя вместо него использовать имена процессов, например? Откуда я должен узнать, как называется нужный мне контекст безопасности (в данном случае samba_share_t)?
Дальше. Поднял веб сервер. По умолчанию файлы сайта находятся в папке /var/www/html. Я хочу, чтобы у меня был доступ к ней по SMB, чтобы было удобно редактировать и управлять содержимым. Соответственно, мне надо изменить контекст безопасности для этой папки на samba_share_t, чтобы selinux пустил в неё самбу. Но по умолчанию у этой папки контекст безопасности установлен для апатча. Если я заменю его на самбовский, тогда, получается, апатч потеряет доступ к папке? Или как? Что-то я совсем запутался...
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
14.05.2018, 11:28
Я подобрал для вас темы с готовыми решениями и ответами на вопрос Настройка Selinux (RedHat, Fedora Linux):

Включить SELinux на сервере CentOS-7-amd64
Не могу включить SELinux на сервере CentOS-7-amd64 sestatus SELinux status:...

Не проходит телнет на 25 порт iptables стопнут и selinux тоже
Всем добрый день. Не проходит телнет на 25 порт iptables стопнут и selinux...

SELinux
SELinux - сущность и использование. Надо какую-то литературу на русском. Хочу...

Состояние SELinux разрешающий означает root?
SELinux - разрешающий, это означает что телефон заручен?

Установка, настройка X Server. Установка пользовательской среды GNOME. Настройка, работа в пользовательской среде GNOME
Задали курсач. Необходимо разобраться во всем выше перечисленном. Нужно...

Настройка
При перезапуске выдал ошибку, посмотрел логи - вот, что нашел. Как это...

20
_sg2
50 / 33 / 12
Регистрация: 30.08.2017
Сообщений: 208
14.05.2018, 11:52 #2
Я думаю тут стоит почитать:
https://docs-old.fedoraproject.org/r...nux/index.html
1
ChildOfFlowers
11 / 11 / 6
Регистрация: 16.04.2012
Сообщений: 707
09.06.2018, 12:51  [ТС] #3
Читаю. Но это всё долго, а мне надо скорее. Так что, если кто-то подскажет готовое решение, буду очень признателен. Как разрешить доступ к папке и файлам в ней одновременно для самбы и для апатча?
0
Max - 2
25 / 25 / 1
Регистрация: 07.02.2011
Сообщений: 206
09.06.2018, 13:30 #4
Всё таки стоит почитать, а то "мне надо скорее", "готовое решение" - предполагает ввод всего что под руку попалось. Команда
Код
getsebool -a | grep xxx
покажет установленные правила для того, что введёшь вместо xxx. Ну раз пишешь про samba_share_t, то похоже с этим ты знаком.
Далее смею предположить, что стоит включить:
Код
setsebool -P httpd_read_user_content=1
и
setsebool -P httpd_can_network_relay=1
После игр с контекстами их всегда можно восстановить
Код
restorecon -R -v /имя_папки
для рекурсивного восстановления всех файлов в этой папке. Ну и самое главное, выполни
Код
audit2allow -lb -t samba_share_t
к этому выводу стоит будет прислушаться.
1
ChildOfFlowers
11 / 11 / 6
Регистрация: 16.04.2012
Сообщений: 707
09.06.2018, 16:35  [ТС] #5
Спасибо. Попробую как доберусь до компа.
Вроде всё понятно, только один момент... Эти выключатели, как я понимаю, применятся ко всем объектам с указанным контекстом безопасности? Тогда почему мы восстанавливаем контекст не в целом, а для конкретной папки?

Добавлено через 3 минуты
Хотя... в setsebool и вовсе не указано, какой контекст меняется... в общем, не очень понятно, как это всё устроено(
0
_sg2
50 / 33 / 12
Регистрация: 30.08.2017
Сообщений: 208
10.06.2018, 08:55 #6
Ну в моём мозгу селинукс улёгся на таком уровне.
У каждой папки/файла/процесса есть ещё один атрибут - атрибут селинукса.
Типы атрибутов, их назначение на папки/файлы настраиваются в /etc/selinux. Стотит ОЧЕНЬ внимательно все те файлики посмотреть. Производители ПО кроме того пишут сами политики селинукса, они валяются где-то в файловой системе с расширением вроде .pp (пишу из-под венды).
Приложение samba работает в контексте/атрибуте/политике селинукс samba_share_t. Поэтому на нужные папки/файлы нужно повесить данный аттрибут:
Bash
1
restorecon -R -v /имя_папки
Ну там передать параметром ещё тип - samba_share_t (повторю - пишу из винды, а память слабая )

а сетсебуль это просто флажок, который разрешает/запрещает вообще работать с данным контекстом. Т.е. надо включить разрешение, навесить на файлы аттрибуты нужные и всё заработает.
Надеюсь я сам не ошибаюсь в механике работы (по крайней мере у меня селинукс работает ) и объяснил хоть чуточку понятно. Но лучше почитайте мою ссылку. Это русский перевод мануала от производителя! Что может быть круче-то?? Форум только частности может пояснить имхо. На примерах применения.
1
ChildOfFlowers
11 / 11 / 6
Регистрация: 16.04.2012
Сообщений: 707
10.06.2018, 13:41  [ТС] #7
Max - 2, сделал немного по-другому. Восстановил стандартный контекст безопасности для папки /var/www (httpd_sys_content_t), и разрешил самбе чтение/запись (samba_export_all_rw=1). Это, вроде как, логичнее. Но если я всё правильно понял, то это брешь в безопасности, так как теперь самба имеет доступ и туда, куда ей совсем не надо. Поэтому мой предыдущий вопрос остаётся открытым: как сделать samba_export_all_rw=1 для конкретной папки, а не глобально?
0
Max - 2
25 / 25 / 1
Регистрация: 07.02.2011
Сообщений: 206
13.06.2018, 10:42 #8
Ну если исходить из комментария _sg2, то
надо включить разрешение, навесить на файлы аттрибуты нужные и всё заработает.
Если эта модель представления верна, то осталось только дать restorecon рекурсивно на нужную папку. К сожалению я понимаю эту тему не так хорошо. А про
это брешь в безопасности
так многие вообще его отключают, этот selinux. У тебя хоть как то настроено будет.
0
Tepew
0 / 0 / 0
Регистрация: 11.07.2018
Сообщений: 8
11.07.2018, 23:19 #9
Selinux проще и лучше отключить.
0
_sg2
50 / 33 / 12
Регистрация: 30.08.2017
Сообщений: 208
12.07.2018, 05:50 #10
лучше? И пароль на рута восемь единиц тоже лучше?
0
corochoone
60 / 54 / 18
Регистрация: 21.06.2013
Сообщений: 267
12.07.2018, 10:22 #11
Да ты чо восемь единиц - это ж как секурно! Надо 123qwe ставить или qwerty - самое оно!
0
Tepew
0 / 0 / 0
Регистрация: 11.07.2018
Сообщений: 8
12.07.2018, 10:48 #12
Если Вас не смущает кто разрабатывает selinux - то используйте. Я высказал своё мнение на данную тему.
0
Max - 2
25 / 25 / 1
Регистрация: 07.02.2011
Сообщений: 206
12.07.2018, 11:54 #13
Даже не в курсе кто разрабатывает. Думал каждые разработчики операционок под свои системы его дорабатывают и встраивают. Вот антивирус от симантек меня смущает (ну вирусов же не может существовать ), эс'е линух ни чуть.
0
_sg2
50 / 33 / 12
Регистрация: 30.08.2017
Сообщений: 208
13.07.2018, 06:21 #14
А что меня смущать должно? TCP/IP тоже известно кто разработал и никого не смущает
0
ChildOfFlowers
11 / 11 / 6
Регистрация: 16.04.2012
Сообщений: 707
16.07.2018, 10:42  [ТС] #15
Цитата Сообщение от Tepew Посмотреть сообщение
Если Вас не смущает кто разрабатывает selinux
И кто же его разрабатывает? Попахивает очередной теорией заговора)
0
Tepew
0 / 0 / 0
Регистрация: 11.07.2018
Сообщений: 8
16.07.2018, 18:41 #16
Цитата Сообщение от ChildOfFlowers Посмотреть сообщение
И кто же его разрабатывает? Попахивает очередной теорией заговора)
NSA
Никакой теории заговоров. Информация в открытом виде с 200x года.
0
_sg2
50 / 33 / 12
Регистрация: 30.08.2017
Сообщений: 208
16.07.2018, 20:54 #17
Это известная информация... Повторюсь, TCP/IP все юзают безо всякого смущения.
0
gng
692 / 538 / 160
Регистрация: 08.09.2013
Сообщений: 1,445
17.07.2018, 07:28 #18
Цитата Сообщение от _sg2 Посмотреть сообщение
Повторюсь, TCP/IP все юзают безо всякого смущения.
Здесь есть существенное различие. Код стека tcp/ip в ядре, в отличие от selinux, написан людьми, не имеющими отношеня к вышеуказанной конторе и ей подобным. Хотя код selinux открытый, написан ими прежде всего для себя и причин паниковать не вижу.
0
_sg2
50 / 33 / 12
Регистрация: 30.08.2017
Сообщений: 208
Вчера, 05:58 #19
АНБ и МО США. Ну да. Разницы никакой
0
gng
692 / 538 / 160
Регистрация: 08.09.2013
Сообщений: 1,445
Вчера, 09:46 #20
Цитата Сообщение от _sg2 Посмотреть сообщение
АНБ и МО США. Ну да. Разницы никакой
Код стека tcp/ip в ядре написан сообществом. Сам протокол когда-то давно был разработан DARPA (курируется Пентагоном). Соответственно, Пентагон не имел прямой возможности вставить бэкдор в код ядра.
Код selinux в ядре написан NSA (АНБ), и эта организациия теоретически могла вставить в код жучек.
0
Вчера, 09:46
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
Вчера, 09:46
Привет! Вот еще темы с решениями:

Настройка Wi-Fi
Есть комп подключенный к интернету сетевым кабелем, в нем же имеется Wi-Fi...

настройка Wi-Fi!!!
Я купил маршрутизатор D-Link DIR-300. Мне нужно настроить вай фай на ноуте(у...

Настройка WI-FI
Доброго времени суток. У меня проблема такого вида. Был интернет проводной все...

Настройка
Здравствуйте. Прошу помочь с настройкой биоса на ноутбуке, для загрузки с диска...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru