Selinux

Computer: Software & Programmierung UNIX & Linux
#1

Hallo community,

kurze Frage zu selinux, kann mir jemand erklären was folgendes bedeutet:

allow\_polyinstantiation

Fand auf der Selinux-Webseite nur folgende Erklärung, die mir nicht wirklich was sagt:

allow\_polyinstantiation (Polyinstatiation)
 Enable polyinstantiated directory support.

Was bedeutet das genau, für mein System? Kann man es erlauben?

Die 2. Frage, lspci hat keine sys_admin Berechtigung, was unterscheidet die Wahl, es zu erlauben oder nicht?
Anbei noch der Lösungsvorschlag von SE:

# grep lspci /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp

Gruß XXD

#2

Hallo XhoanXoroDaxos,

kurze Frage zu selinux, kann mir jemand erklären was folgendes
bedeutet:

allow_polyinstantiation

Lange Antwort zur kurzen Frage, besser als hier kann ich es auch nicht erklären:
http://www.coker.com.au/selinux/talks/sage-2006/Poly…
http://selinuxproject.org/page/NB_Poly

Enable polyinstantiated directory support.
Was bedeutet das genau, für mein System? Kann man es erlauben?

„Erlauben“ ist eigentlich das falsche Wort. Ich würde es so lassen, wie es bei dir per default eingestellt ist. Aber es gibt auch Situationen, wo Du es auf on setzen mussst, z.B. für chrooted sftp
http://cassjohnston.wordpress.com/2012/08/16/selinux…
Wenn Du also keine ausdrücklichen Zugriffsprobleme hast, würde ich es so lassen.

Die 2. Frage, lspci hat keine sys_admin Berechtigung, was
unterscheidet die Wahl, es zu erlauben oder nicht?
Anbei noch der Lösungsvorschlag von SE:

grep lspci /var/log/audit/audit.log | audit2allow -M mypol

semodule -i mypol.pp

Die zweite Frage verstehe ich nicht, was meinst Du mit „lspci hat keine sys_admin Berechtigung“? Noch weniger dein Kommando, lspci hat zwar eine Menge Optionen, aber doch keinen Parameter, erst recht keine Logdatei.

Viele Grüße
Marvin

#3

Hallo Marvin

http://cassjohnston.wordpress.com/2012/08/16/selinux…
Wenn Du also keine ausdrücklichen Zugriffsprobleme hast, würde
ich es so lassen.

Ok dann belass ich erst mal.

Die 2. Frage, lspci hat keine sys_admin Berechtigung, was
unterscheidet die Wahl, es zu erlauben oder nicht?
Anbei noch der Lösungsvorschlag von SE:

grep lspci /var/log/audit/audit.log | audit2allow -M mypol

semodule -i mypol.pp

Die zweite Frage verstehe ich nicht, was meinst Du mit „lspci
hat keine sys_admin Berechtigung“? Noch weniger dein Kommando,
lspci hat zwar eine Menge Optionen, aber doch keinen
Parameter, erst recht keine Logdatei.

Das kam ja nicht von mir, sondern war ein Alert/Problemmeldung von Selinux + dessen Lösungsvorschlag. Also am besten auch nicht darauf reagieren?
Hier mal die komplette Ausgabe:

SELinux is preventing lspci from using the sys\_admin capability.

\*\*\*\*\* Plugin catchall\_boolean (89.3 confidence) suggests \*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*

If sie möchten allow\_polyinstantiation
Then you must tell SELinux about this by enabling the 'allow\_polyinstantiation' boolean.You can read 'xdm\_selinux' man page for more details.
Do
setsebool -P allow\_polyinstantiation 1

\*\*\*\*\* Plugin catchall (11.6 confidence) suggests \*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*\*

If sie denken, dass lspci standardmäßig sys\_admin Berechtigung haben sollten.
Then sie sollten dies als Fehler melden.
Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen.
Do
zugriff jetzt erlauben, indem Sie die nachfolgenden Befehle ausführen:
# grep lspci /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp

Raw Audit Messages
type=AVC msg=audit(1347438682.101:23): avc: denied { sys\_admin } for pid=698 comm="lspci" capability=21 scontext=system\_u:system\_r:xdm\_t:s0-s0:c0.c1023 tcontext=system\_u:system\_r:xdm\_t:s0-s0:c0.c1023 tclass=capability


Hash: lspci,xdm\_t,xdm\_t,capability,sys\_admin

audit2allowunable to open /sys/fs/selinux/policy: Permission denied

Ich wurde im „Troubleshoot“ von Selinux aufgefordert, dies als Fehler zu melden.

Gruß XXD

#4

Korrektur zu lspci
Hallo XhoanXoroDaxos,

grep lspci /var/log/audit/audit.log | audit2allow -M mypol

semodule -i mypol.pp

bei deiner zweiten Frage habe ich doch glatt das grep übersehen. Also vergiss, was ich zu Parametern von lspci gesagt habe, das hat nichts mit deiner Frage zu tun.
Du beziehst dich offenbar auf den Fedora-Bug 821268, der hier diskutiert wird.
https://bugzilla.redhat.com/show_bug.cgi?id=821268
Aber wenn ich es recht sehe, wurde der mit selinux-policy-3.10.0-137.fc17 gefixt, so daß ein entsprechendes Update ausreichen sollte.

su -c 'yum update selinux-policy'

https://lists.fedoraproject.org/pipermail/package-an…
Aber bist Du jetzt zu Fedora gewechselt oder tritt der Fehler auch bei Debian auf?

Viele Grüße
Marvin

#5

Hallo XhoanXoroDaxos,

Ich wurde im „Troubleshoot“ von Selinux aufgefordert, dies als
Fehler zu melden.

Ok, das war mein Fehler, ich habe das zu flüchtig gelesen. Die Aufforderung wundert mich aber, weil dieser Bug zumindest bei Fedora schon gemeldet und gefixt ist. Siehe dazu meine Korrektur weiter oben, die diesmal hoffentlich besser ausfällt.
Es scheint also ein Update von selinux-policy zu helfen, das habe ich aber nur für Fedora gefunden. Aber tut es bei dir überhaupt weh, oder anders gefragt, in welchem Zusammenhang trat denn diese Meldung auf?

Viele Grüße
Marvin

#6

Hallo Marvin,

Du beziehst dich offenbar auf den Fedora-Bug 821268, der hier
diskutiert wird.
https://bugzilla.redhat.com/show_bug.cgi?id=821268
Aber wenn ich es recht sehe, wurde der mit
selinux-policy-3.10.0-137.fc17 gefixt, so daß ein
entsprechendes Update ausreichen sollte.

su -c ‚yum update selinux-policy‘

Ok, war wirklich ein update nötig. Mal sehen, ob der Fehler morgen, nach dem booten, immer noch da ist.

https://lists.fedoraproject.org/pipermail/package-an…
Aber bist Du jetzt zu Fedora gewechselt oder tritt der Fehler
auch bei Debian auf?

Hab Fedora parallel installiert, da ich mich gerade auf den LIPC-1 Test vorbereite und laut der Prüfungsvorbereitung, soll man sich, in beiden großen Linien (RHEL und Debian), auskennen. Unter Debian teste ich statt selinux tomoyo (hat zwar nichts mit dem Test zu tun) wollte mir aber beide mal ansehen:wink:

Gruß XXD

#7

Hallo Marvin,

Hallo XhoanXoroDaxos,

Ich wurde im „Troubleshoot“ von Selinux aufgefordert, dies als
Fehler zu melden.

Ok, das war mein Fehler, ich habe das zu flüchtig gelesen. Die
Aufforderung wundert mich aber, weil dieser Bug zumindest bei
Fedora schon gemeldet und gefixt ist. Siehe dazu meine
Korrektur weiter oben, die diesmal hoffentlich besser
ausfällt.
Es scheint also ein Update von selinux-policy zu helfen, das
habe ich aber nur für Fedora gefunden. Aber tut es bei dir
überhaupt weh, oder anders gefragt, in welchem Zusammenhang
trat denn diese Meldung auf?

Direkt nach dem booten.

Gruß XXD