Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Hej,
Postawilem Centos 7.1. Skompilowalem jajko z grsec, zaznaczyalem opcje SeLinux w configu, ale
[root@proton ~]# getenforce Disabled [root@proton ~]# setenforce 1 setenforce: SELinux is disabled
[root@proton ~]# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
[root@proton ~]# uname -a Linux proton.edu.pl 4.1.6-grsec-xxxx-std-ipv6-64-hz1000 #1 SMP Wed Sep 2 11:51:23 CEST 2015 x86_64 x86_64 x86_64 GNU/Linux
[root@proton linux]# cat .config | grep SELinux [root@proton linux]# cat .config | grep Linux # Linux/x86 4.1.6 Kernel Configuration [root@proton linux]# cat .config | grep NSA [root@proton linux]#
Ktos wie jak to pogodzic.
Pzdr,
Offline
2180
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:02)
Offline
[root@proton linux]# cat .config | grep -i selinux CONFIG_SECURITY_SELINUX=y CONFIG_SECURITY_SELINUX_BOOTPARAM=y CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1 # CONFIG_SECURITY_SELINUX_DISABLE is not set CONFIG_SECURITY_SELINUX_DEVELOP=y CONFIG_SECURITY_SELINUX_AVC_STATS=y CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1 CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX=y CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX_VALUE=19 # CONFIG_DEFAULT_SECURITY_SELINUX is not set
Niby wszystko jest, ale nie ma.
Offline
2181
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:03)
Offline
Kod:
# CONFIG_DEFAULT_SECURITY_SELINUX is not set
Pokaż wynik:
cat /proc/cmdline
Offline
cat /proc/cmdline BOOT_IMAGE=/boot/vmlinuz-4.1.6-grsec-xxxx-std-ipv6-64-hz1000 root=/dev/sda1 ro net.ifnames=0 LANG=en_US.UTF-8
Jakbym pogodzil grsec i selinuxa to juz bym byl chyba w 7 niebie !
Ostatnio edytowany przez bryn1u (2015-09-02 17:48:45)
Offline
Dodaj do cmdline:
security=selinux selinux=1
Powinno radykalnie pomóc.
PS.
W 7 niebie to będziesz, jak się SELinux nie skicha z powodu Grsec/Paxa,
a system ruszy na PAX_MPROTECT.
Ostatnio edytowany przez Jacekalex (2015-09-02 18:34:34)
Offline
i juz nie wstal :(
Offline
To samo, co w Debianie Squeeze, włączenie SELinuxa, dwukrotne markowanie wszystkich plików, reboot, i czarna konsola, bo SELinux w trybie targeted ubił proces /sbin/init, na dystrybucyjnym jaju bez Grseca.
Ale zdawało mi się, że CentOS ma Selinuxa włączonego i skonfigurowanego domyślnie. :D
To teraz zabawa z logami AVC i czary z debugerem, jak SELinux czegoś nie zaloguje.
Jak dotąd, Grsec, Pax i Selinux udało mi się ożenić tylko na Gentusiu,
a było z tym ze 2 tygodnie gimnastyki za pierwszym razem. ;P
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2015-09-03 03:09:29)
Offline
selinux z PAX może działać
selinux z grsecurity zajmują się tym samym, a więc kolidują ze sobą.
Offline
selinux z grsecurity zajmują się tym samym, a więc kolidują ze sobą.
Niezupełnie tym samym, Grsecurity to kilka różnych technik, w których RBAC (ACL) to jeden z modułów używanych opcjonalnie.
Selinux to praktycznie wyłącznie ACL, chociaż rozbudowany do granic korpoabsurdu.
Jak pierwszy raz zobaczyłem oznaczanie pakietów sieciowych przez firewall w tablicy SECURITY, żeby miały prawidłowe konteksty selinuxa,
to myślałem, że ktoś spadł na głowę z diabelnie wysokiego budynku.
RBAC w Grsec po prostu pozwala albo nie pozwala wisieć demonowi na określonym porcie, i gotowe.
W standardowym Linuxie jest od tego mechanizm CAPABILITIES albo Cgroup.
System, który nie wstaje po włączeniu selinuxa przez cmdline, na 99,9 % ma problem z jakąś binarką, która się pogryzła wlaśnie z paxem, albo zablokowany dostęp do /dev/mem, /dev/kmem lub /dev/port, albo jakaś z innych technik może bruździć, np HARDEN_IPC
W każdym razie, póki nie włączysz w Grsecu RBAC, to nie powinno być kłopotu z Selinuxe.
@bryn1u
Odpal SELinuxa w trybie Permisive, i dopiero po starcie włącz przez setenforce, a potem zobacz w logach Grsec i Selinuxa, co się dokładnie dzieje.
Ostatnio edytowany przez Jacekalex (2015-09-04 18:28:25)
Offline
Strony: 1