ich bin noch absoluter Anfänger beim Thema SeLinux. Ich habe dies nun erstmals auf meinem Debian 10 unter Verwendung vom Debian Admin Handbuch https://debian-handbook.info/browse/de- ... linux.html eingerichtet. Das lief soweit auch alles ohne Probleme. Beim Befehl
Code: Alles auswählen
fixfiles relabel
Code: Alles auswählen
fixfiles relabel
So habe ich also im Notfallmodus gebootet und habe ich das zuvor deaktivierte Modul wieder aktiviert und meine Benutzerzuordnung fur meinen Hauptbenutzer rückgängig gemacht. Den Testnutzer habe ich so gelassen. Ich startete das System neu und er bootete bis die grafische Oberfläche hier Gnome 3 mit Wayland geladen werden sollte. Es war kurz ein grauer Bildschirm zu sehen und dann stand das System. So habe ich wieder im Notfallmodus gebootet und den SeLinux mode von enforcing in permissive geändert. Das System startete sauber. Jetzt habe ich den automatischen grafischen Start abgeschaltet
Code: Alles auswählen
systemctl set-default multi-user.target
Code: Alles auswählen
startx
Code: Alles auswählen
cat /var/log/audit/audit.log | audit2allow -m local > local.te dann checkmodule -M -m -o local.mod local.te dann semodule_package -o local.pp local.mod und semodule -i local.pp
Code: Alles auswählen
sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: default
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 31
Code: Alles auswählen
cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 10 (buster)"
NAME="Debian GNU/Linux"
VERSION_ID="10"
VERSION="10 (buster)"
VERSION_CODENAME=buster
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"
Code: Alles auswählen
uname -r
4.19.0-9-amd64
Übrigens ich habe mit dem Testnutzer mal getestet ob wie in der RedHat Doku das su und sudo nicht benutzbar sind wohlgemerkt mit dem durchsetzen der Richtlinie. Das Ergebnis war das es trotzdem geht. Das lässt mich fragen liegt es an der Richtlinie oder ist die Integration in Debian von SeLinux schlecht und somit hier besser RedHat zu verwenden wäre.
Grüße