Forum Debian Users Gang

bryn1u · 2015-09-02 14:46:26

Hej,

Postawilem Centos 7.1. Skompilowalem jajko z grsec, zaznaczyalem opcje SeLinux w configu, ale

Kod:

[root@proton ~]# getenforce
Disabled
[root@proton ~]# setenforce 1
setenforce: SELinux is disabled

Kod:

[root@proton ~]# cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Kod:

[root@proton ~]# uname -a
Linux proton.edu.pl 4.1.6-grsec-xxxx-std-ipv6-64-hz1000 #1 SMP Wed Sep 2 11:51:23 CEST 2015 x86_64 x86_64 x86_64 GNU/Linux

Tego tez nie rozumiem

Kod:

[root@proton linux]# cat .config | grep SELinux
[root@proton linux]# cat .config | grep Linux
# Linux/x86 4.1.6 Kernel Configuration
[root@proton linux]# cat .config | grep NSA
[root@proton linux]#

Ktos wie jak to pogodzic.

Pzdr,

uzytkownikubunt · 2015-09-02 14:57:28

2180

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:02)

bryn1u · 2015-09-02 15:53:04

Kod:

[root@proton linux]# cat .config | grep -i selinux
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1
# CONFIG_SECURITY_SELINUX_DISABLE is not set
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX=y
CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX_VALUE=19
# CONFIG_DEFAULT_SECURITY_SELINUX is not set

Niby wszystko jest, ale nie ma.

uzytkownikubunt · 2015-09-02 16:14:11

2181

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:03)

Jacekalex · 2015-09-02 17:27:23

Kod:

# CONFIG_DEFAULT_SECURITY_SELINUX is not set

Pokaż wynik:

Kod:

cat /proc/cmdline

bryn1u · 2015-09-02 17:44:08

Kod:

cat /proc/cmdline
BOOT_IMAGE=/boot/vmlinuz-4.1.6-grsec-xxxx-std-ipv6-64-hz1000 root=/dev/sda1 ro net.ifnames=0 LANG=en_US.UTF-8

Jakbym pogodzil grsec i selinuxa to juz bym byl chyba w 7 niebie !

Ostatnio edytowany przez bryn1u (2015-09-02 17:48:45)

Jacekalex · 2015-09-02 18:31:54

Dodaj do cmdline:

Kod:

security=selinux  selinux=1

Powinno radykalnie pomóc.

PS.
W 7 niebie to będziesz, jak się SELinux nie skicha z powodu Grsec/Paxa,
a system ruszy na PAX_MPROTECT.

Ostatnio edytowany przez Jacekalex (2015-09-02 18:34:34)

bryn1u · 2015-09-02 22:41:45

i juz nie wstal :(

Jacekalex · 2015-09-02 23:00:32

To samo, co w Debianie Squeeze, włączenie SELinuxa, dwukrotne markowanie wszystkich plików, reboot, i czarna konsola, bo SELinux w trybie targeted ubił proces /sbin/init, na dystrybucyjnym jaju bez Grseca.

Ale zdawało mi się, że CentOS ma Selinuxa włączonego i skonfigurowanego domyślnie. :D

To teraz zabawa z logami AVC i czary z debugerem, jak SELinux czegoś nie zaloguje.

Jak dotąd, Grsec, Pax i Selinux udało mi się ożenić tylko na Gentusiu,
a było z tym ze 2 tygodnie gimnastyki za pierwszym razem. ;P

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-09-03 03:09:29)

Yampress · 2015-09-04 18:12:35

selinux z PAX może działać
selinux z grsecurity zajmują się tym samym, a więc kolidują ze sobą.

Jacekalex · 2015-09-04 18:21:58

selinux z grsecurity zajmują się tym samym, a więc kolidują ze sobą.

Niezupełnie tym samym, Grsecurity to kilka różnych technik, w których RBAC (ACL) to jeden z modułów używanych opcjonalnie.
Selinux to praktycznie wyłącznie ACL, chociaż rozbudowany do granic korpoabsurdu.

Jak pierwszy raz zobaczyłem oznaczanie pakietów sieciowych przez firewall w tablicy SECURITY, żeby miały prawidłowe konteksty selinuxa,
to myślałem, że ktoś spadł na głowę z diabelnie wysokiego budynku.
RBAC w Grsec po prostu pozwala albo nie pozwala wisieć demonowi na określonym porcie, i gotowe.
W standardowym Linuxie jest od tego mechanizm CAPABILITIES albo Cgroup.

System, który nie wstaje po włączeniu selinuxa przez cmdline, na 99,9 % ma problem z jakąś binarką, która się pogryzła wlaśnie z paxem, albo zablokowany dostęp do /dev/mem, /dev/kmem lub /dev/port, albo jakaś z innych technik może bruździć, np HARDEN_IPC

W każdym razie, póki nie włączysz w Grsecu RBAC, to nie powinno być kłopotu z Selinuxe.

@bryn1u
Odpal SELinuxa w trybie Permisive, i dopiero po starcie włącz przez setenforce, a potem zobacz w logach Grsec i Selinuxa, co się dokładnie dzieje.

Ostatnio edytowany przez Jacekalex (2015-09-04 18:28:25)

Forum Debian Users Gang

Ogłoszenie

#1 2015-09-02 14:46:26

bryn1u - Użytkownik

Instalacja Grsecurity wraz z Selinux'em

Kod:

Kod:

Kod:

Kod:

#2 2015-09-02 14:57:28

uzytkownikubunt - Zbanowany

Re: Instalacja Grsecurity wraz z Selinux'em

#3 2015-09-02 15:53:04

bryn1u - Użytkownik

Re: Instalacja Grsecurity wraz z Selinux'em

Kod:

#4 2015-09-02 16:14:11

uzytkownikubunt - Zbanowany

Re: Instalacja Grsecurity wraz z Selinux'em

#5 2015-09-02 17:27:23

Jacekalex - Podobno człowiek...;)

Re: Instalacja Grsecurity wraz z Selinux'em

Kod:

Kod:

#6 2015-09-02 17:44:08

bryn1u - Użytkownik

Re: Instalacja Grsecurity wraz z Selinux'em

Kod:

#7 2015-09-02 18:31:54

Jacekalex - Podobno człowiek...;)

Re: Instalacja Grsecurity wraz z Selinux'em

Kod:

#8 2015-09-02 22:41:45

bryn1u - Użytkownik

Re: Instalacja Grsecurity wraz z Selinux'em

#9 2015-09-02 23:00:32

Jacekalex - Podobno człowiek...;)

Re: Instalacja Grsecurity wraz z Selinux'em

#10 2015-09-04 18:12:35

Yampress - Imperator

Re: Instalacja Grsecurity wraz z Selinux'em

#11 2015-09-04 18:21:58

Jacekalex - Podobno człowiek...;)

Re: Instalacja Grsecurity wraz z Selinux'em

Stopka forum