Portál AbcLinuxu, 10. května 2025 08:54

Dotaz: Problém se SELinuxem

9.11.2010 16:26 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Problém se SELinuxem
Přečteno: 308×
Odpovědět | Admin
Podle tohoto návodu jsem se pokoušel si udělat v SELinuxu v CentOSu omezení uživatele, tak aby mohl přes ssh přístupovat jenom ke svému adresáři v /srv/www/hosts/domena.tld a nikam jinam. Problém je v tom, že uživatel po přihlášení je stále user_u:system_r:unconfined_t:s0 i když ve výpisu semanage login je správně přiřazen: 
 semanage login -l

Login Name                SELinux User              MLS/MCS Range            

__default__               user_u                    s0                       
filbar.name               webuser_u                 s0                       
root                      root                      s0-s0:c0.c1023
Stejně tak se mi ani nepřiřadí správný kontext souborů: 
 cat webuser.fc 
/srv/www/hosts(/.*)?  gen_context(system_u:object_r:webuser_web_t,s0)

 cat webuser.te 
policy_module(webuser,1.0.1)
userdom_restricted_user_template(webuser)

type webuser_web_t;
files_type(webuser_web_t);

manage_dirs_pattern(webuser_t,webuser_web_t,webuser_web_t)
manage_files_pattern(webuser_t,webuser_web_t,webuser_web_t)

 cat webuser.if 
interface(`webuser_role_change',`
        gen_require(`
                role webuser_r;
        ')

        allow $1 webuser_r;
')
Nevíte někdo, kde bych mohl mít chybu.

Za rady předem děkuji

Řešení dotazu:

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Řešení 1× (VSi)
10.11.2010 07:05 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Problém se SELinuxem
Odpovědět | | Sbalit | Link | Blokovat | Admin
Máte tu politiku přeloženou a zavedenou? Ve výpisu semodule byste měl vidět webuser a ve výpisu semanage user (ne login) taky. Kontexty na souborech by se měly změnit když uděláte restorecon -R adresář.
In Ada the typical infinite loop would normally be terminated by detonation.
10.11.2010 10:41 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Problém se SELinuxem
Právě, že politika je jak přeložená, tak zavedená, přesto to vypadá jako by tam nebyla. I v semodule -l se zobrazuje.
10.11.2010 18:00 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Problém se SELinuxem
A na těch souborech se to po restorecon nějak projeví?
In Ada the typical infinite loop would normally be terminated by detonation.
michich avatar 10.11.2010 17:00 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Problém se SELinuxem
Odpovědět | | Sbalit | Link | Blokovat | Admin
Přihlášení testuješ místním loginem nebo přes ssh?

Zkusil jsem si to a pro sshd jsem musel přidat: 
allow sshd_t webuser_t:process { transition };
Nicky726 avatar 10.11.2010 23:48 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Problém se SELinuxem
Odpovědět | | Sbalit | Link | Blokovat | Admin
AFAIK musíš někde zavolat rozhraní webuser_role_change aby se přiřadila role.
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
11.11.2010 06:37 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Problém se SELinuxem
IMHO ne a svým způsobem je tam teď to rozhraní zbytečně.
In Ada the typical infinite loop would normally be terminated by detonation.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.