Selinux und SSH irgendwie sperre ich mich aus

minimike · Beitrag von **minimike** » 15.09.2007 01:02:10

Hi ich versuche mich gerade in Selinux. Kurz ich bin darin noch Anfänger

Installiert habe ich neben selinux-utils, selinux-basics, libselinux1 die Policy selinux-policy-refpolicy-strict. Pam ist angepasst sowie auch /etc/default/rcS. Kernel bootet mit parameter selinux=1.

Nach dem ich den Server rebootet habe kommt bei check-selinux-installation

Code: Alles auswählen

virtualizing:~# check-selinux-installation
Dynamic motd updating is enabled
A dynamic MOTD is present in /var/run/motd.

und

Code: Alles auswählen

virtualizing:/var/log# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          permissive
Policy version:                 20
Policy from config file:        refpolicy-strict

Sieht schon mal gut aus :)

Das ist ein Rooty mit genau definierten Aufgaben. Alles (Dienste) was daruf nicht läuft soll im Prinziep auch nicht laufen können. Als Anfänger dachte ich dann die Policy im Paket selinux-policy-refpolicy-strict wäre genau das richtige für mich.

So um die Installation abzuschliessen habe ich so verstanden soll ich noch ein "setenforce 1" befehlen um bei Selinux in den Enforcing mode zu kommen. Ab da sind aber dann alle Dienste des Servers nicht mehr erreichbar. Pingen geht aber. Irgendwie verstehe ich derzeit nicht wie bei der Policy nun SSH, HTTP, SMTP, MYSQL und IMAP erlaube

Hilfe darin willkommen :)

minimike · Beitrag von **minimike** » 15.09.2007 01:19:12

Jetzt bin ich schon was weiter. Ich habe semodule -i /usr/share/selinux/refpolicy-strict/ssh.pp befohlen,
jetzt SSH aktiviert.

semodule -l

Code: Alles auswählen

virtualizing:~# semodule -l
dmidecode       1.1.0
gpg     1.1.0
inetd   1.2.0
netutils        1.2.0
pythonsupport   0.0.1
raid    1.1.0
rsync   1.3.0
sasl    1.3.0
screen  1.1.0
ssh     1.4.0
tcpd    1.1.0
udev    1.4.0

listet nun auch SSH Support allerdings kann ich mich nicht anmelden. Weder als User sowie auch als root (server ist frisch aufgesetzt Rootlogin wird später abgeschafft) Meldung beim Loggin "Permission denied, please try again".

minimike · Beitrag von **minimike** » 15.09.2007 01:41:28

Langsam geht das richtig auf die Nerven. Ich kann mich im Permissive Mode nicht als User einloggen. Bzw ich komm rein aber die SSH Verbindung wird sogleich wieder geschlossen.

minimike · Beitrag von **minimike** » 15.09.2007 02:33:50

Also wenn ich "echo "1" > /selinux/enforce" anstatt "setenforce 1" eingebe klappt das augenscheinlich.

Code: Alles auswählen

 virtualizing:~# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          permissive
Policy version:                 20
Policy from config file:        refpolicy-strict

Einloggen geht jetzt aber ich kann so gut wie nichts machen. Im Prinziep ist alles verboten, sogar "dmesg" unter root. Entweder die Policy ist doch zu Hart und ich muss eine eigene Erstellen oder ich mach was falsch
Derzeit überlege ich wieder gradm zu installieren und mich damit zu schützen

novalix · Beitrag von **novalix** » 15.09.2007 11:39:21

Hi,

ohne mich jetzt wirklich auszukennen und Dir im konkreten Fall helfen zu können:
Beim bisherigen Querlesen über selinux habe ich meistens die Empfehlung gefunden, die "policy-strict" ersteinmal zu meiden und stattdessen die "policy-targeted" zu verwenden.

hope that helps, niels