Форум программистов, компьютерный форум, киберфорум
RedHat, Fedora, CentOS, ASP Linux
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.57/7: Рейтинг темы: голосов - 7, средняя оценка - 4.57
12 / 11 / 8
Регистрация: 16.04.2012
Сообщений: 919
1

Настройка Selinux

14.05.2018, 11:28. Показов 1346. Ответов 20
Метки нет (Все метки)

Не очень понятно, как усмирить этого монстра, чтобы он не блокировал всё, что только можно. Какие-то уж больно заумные настройки, никак не врублюсь в принцип работы.
Вот пара вопросов на практических примерах:
Делал шару на SMB. Соответственно, пришлось настраивать контекст безопасности для общей папки. Сделал по инструкции, но ничего толком не понял. Что такое контекст безопасности, и почему нельзя вместо него использовать имена процессов, например? Откуда я должен узнать, как называется нужный мне контекст безопасности (в данном случае samba_share_t)?
Дальше. Поднял веб сервер. По умолчанию файлы сайта находятся в папке /var/www/html. Я хочу, чтобы у меня был доступ к ней по SMB, чтобы было удобно редактировать и управлять содержимым. Соответственно, мне надо изменить контекст безопасности для этой папки на samba_share_t, чтобы selinux пустил в неё самбу. Но по умолчанию у этой папки контекст безопасности установлен для апатча. Если я заменю его на самбовский, тогда, получается, апатч потеряет доступ к папке? Или как? Что-то я совсем запутался...
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
14.05.2018, 11:28
Ответы с готовыми решениями:

Включить SELinux на сервере CentOS-7-amd64
Не могу включить SELinux на сервере CentOS-7-amd64 sestatus SELinux status: disabled ...

Не проходит телнет на 25 порт iptables стопнут и selinux тоже
Всем добрый день. Не проходит телнет на 25 порт iptables стопнут и selinux тоже. Что ещё может...

SELinux
SELinux - сущность и использование. Надо какую-то литературу на русском. Хочу настроить на Убунте...

Состояние SELinux разрешающий означает root?
SELinux - разрешающий, это означает что телефон заручен?

20
256 / 95 / 25
Регистрация: 30.08.2017
Сообщений: 776
14.05.2018, 11:52 2
Я думаю тут стоит почитать:
https://docs-old.fedoraproject... index.html
1
12 / 11 / 8
Регистрация: 16.04.2012
Сообщений: 919
09.06.2018, 12:51  [ТС] 3
Читаю. Но это всё долго, а мне надо скорее. Так что, если кто-то подскажет готовое решение, буду очень признателен. Как разрешить доступ к папке и файлам в ней одновременно для самбы и для апатча?
0
28 / 28 / 1
Регистрация: 07.02.2011
Сообщений: 245
09.06.2018, 13:30 4
Всё таки стоит почитать, а то "мне надо скорее", "готовое решение" - предполагает ввод всего что под руку попалось. Команда
Код
getsebool -a | grep xxx
покажет установленные правила для того, что введёшь вместо xxx. Ну раз пишешь про samba_share_t, то похоже с этим ты знаком.
Далее смею предположить, что стоит включить:
Код
setsebool -P httpd_read_user_content=1
и
setsebool -P httpd_can_network_relay=1
После игр с контекстами их всегда можно восстановить
Код
restorecon -R -v /имя_папки
для рекурсивного восстановления всех файлов в этой папке. Ну и самое главное, выполни
Код
audit2allow -lb -t samba_share_t
к этому выводу стоит будет прислушаться.
1
12 / 11 / 8
Регистрация: 16.04.2012
Сообщений: 919
09.06.2018, 16:35  [ТС] 5
Спасибо. Попробую как доберусь до компа.
Вроде всё понятно, только один момент... Эти выключатели, как я понимаю, применятся ко всем объектам с указанным контекстом безопасности? Тогда почему мы восстанавливаем контекст не в целом, а для конкретной папки?

Добавлено через 3 минуты
Хотя... в setsebool и вовсе не указано, какой контекст меняется... в общем, не очень понятно, как это всё устроено(
0
256 / 95 / 25
Регистрация: 30.08.2017
Сообщений: 776
10.06.2018, 08:55 6
Ну в моём мозгу селинукс улёгся на таком уровне.
У каждой папки/файла/процесса есть ещё один атрибут - атрибут селинукса.
Типы атрибутов, их назначение на папки/файлы настраиваются в /etc/selinux. Стотит ОЧЕНЬ внимательно все те файлики посмотреть. Производители ПО кроме того пишут сами политики селинукса, они валяются где-то в файловой системе с расширением вроде .pp (пишу из-под венды).
Приложение samba работает в контексте/атрибуте/политике селинукс samba_share_t. Поэтому на нужные папки/файлы нужно повесить данный аттрибут:
Bash
1
restorecon -R -v /имя_папки
Ну там передать параметром ещё тип - samba_share_t (повторю - пишу из винды, а память слабая )

а сетсебуль это просто флажок, который разрешает/запрещает вообще работать с данным контекстом. Т.е. надо включить разрешение, навесить на файлы аттрибуты нужные и всё заработает.
Надеюсь я сам не ошибаюсь в механике работы (по крайней мере у меня селинукс работает ) и объяснил хоть чуточку понятно. Но лучше почитайте мою ссылку. Это русский перевод мануала от производителя! Что может быть круче-то?? Форум только частности может пояснить имхо. На примерах применения.
1
12 / 11 / 8
Регистрация: 16.04.2012
Сообщений: 919
10.06.2018, 13:41  [ТС] 7
Max - 2, сделал немного по-другому. Восстановил стандартный контекст безопасности для папки /var/www (httpd_sys_content_t), и разрешил самбе чтение/запись (samba_export_all_rw=1). Это, вроде как, логичнее. Но если я всё правильно понял, то это брешь в безопасности, так как теперь самба имеет доступ и туда, куда ей совсем не надо. Поэтому мой предыдущий вопрос остаётся открытым: как сделать samba_export_all_rw=1 для конкретной папки, а не глобально?
0
28 / 28 / 1
Регистрация: 07.02.2011
Сообщений: 245
13.06.2018, 10:42 8
Ну если исходить из комментария _sg2, то
надо включить разрешение, навесить на файлы аттрибуты нужные и всё заработает.
Если эта модель представления верна, то осталось только дать restorecon рекурсивно на нужную папку. К сожалению я понимаю эту тему не так хорошо. А про
это брешь в безопасности
так многие вообще его отключают, этот selinux. У тебя хоть как то настроено будет.
0
0 / 0 / 0
Регистрация: 11.07.2018
Сообщений: 6
11.07.2018, 23:19 9
Selinux проще и лучше отключить.
0
256 / 95 / 25
Регистрация: 30.08.2017
Сообщений: 776
12.07.2018, 05:50 10
лучше? И пароль на рута восемь единиц тоже лучше?
0
76 / 62 / 24
Регистрация: 21.06.2013
Сообщений: 330
12.07.2018, 10:22 11
Да ты чо восемь единиц - это ж как секурно! Надо 123qwe ставить или qwerty - самое оно!
0
0 / 0 / 0
Регистрация: 11.07.2018
Сообщений: 6
12.07.2018, 10:48 12
Если Вас не смущает кто разрабатывает selinux - то используйте. Я высказал своё мнение на данную тему.
0
28 / 28 / 1
Регистрация: 07.02.2011
Сообщений: 245
12.07.2018, 11:54 13
Даже не в курсе кто разрабатывает. Думал каждые разработчики операционок под свои системы его дорабатывают и встраивают. Вот антивирус от симантек меня смущает (ну вирусов же не может существовать ), эс'е линух ни чуть.
0
256 / 95 / 25
Регистрация: 30.08.2017
Сообщений: 776
13.07.2018, 06:21 14
А что меня смущать должно? TCP/IP тоже известно кто разработал и никого не смущает
0
12 / 11 / 8
Регистрация: 16.04.2012
Сообщений: 919
16.07.2018, 10:42  [ТС] 15
Цитата Сообщение от Tepew Посмотреть сообщение
Если Вас не смущает кто разрабатывает selinux
И кто же его разрабатывает? Попахивает очередной теорией заговора)
0
0 / 0 / 0
Регистрация: 11.07.2018
Сообщений: 6
16.07.2018, 18:41 16
Цитата Сообщение от ChildOfFlowers Посмотреть сообщение
И кто же его разрабатывает? Попахивает очередной теорией заговора)
NSA
Никакой теории заговоров. Информация в открытом виде с 200x года.
0
256 / 95 / 25
Регистрация: 30.08.2017
Сообщений: 776
16.07.2018, 20:54 17
Это известная информация... Повторюсь, TCP/IP все юзают безо всякого смущения.
0
919 / 636 / 198
Регистрация: 08.09.2013
Сообщений: 1,693
17.07.2018, 07:28 18
Цитата Сообщение от _sg2 Посмотреть сообщение
Повторюсь, TCP/IP все юзают безо всякого смущения.
Здесь есть существенное различие. Код стека tcp/ip в ядре, в отличие от selinux, написан людьми, не имеющими отношеня к вышеуказанной конторе и ей подобным. Хотя код selinux открытый, написан ими прежде всего для себя и причин паниковать не вижу.
0
256 / 95 / 25
Регистрация: 30.08.2017
Сообщений: 776
20.07.2018, 05:58 19
АНБ и МО США. Ну да. Разницы никакой
0
919 / 636 / 198
Регистрация: 08.09.2013
Сообщений: 1,693
20.07.2018, 09:46 20
Цитата Сообщение от _sg2 Посмотреть сообщение
АНБ и МО США. Ну да. Разницы никакой
Код стека tcp/ip в ядре написан сообществом. Сам протокол когда-то давно был разработан DARPA (курируется Пентагоном). Соответственно, Пентагон не имел прямой возможности вставить бэкдор в код ядра.
Код selinux в ядре написан NSA (АНБ), и эта организациия теоретически могла вставить в код жучек.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
20.07.2018, 09:46

Установка, настройка X Server. Установка пользовательской среды GNOME. Настройка, работа в пользовательской среде GNOME
Задали курсач. Необходимо разобраться во всем выше перечисленном. Нужно поэтапное решение данной...

Настройка
Здравствуйте. Прошу помочь с настройкой биоса на ноутбуке, для загрузки с диска Захожу в меню Boot...

Настройка Qt
Скажите как настроить Qt? Я настроил вот так: Как показано на 2 скриншоте Отсутствует компилятор...

Настройка Wi-Fi
Имеется модем, настроенный в режиме роутер. Подключение с нескольких компов. Есть ли возможность...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru