SeLinux

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
aki
Beiträge: 66
Registriert: 02.02.2018 11:48:58

SeLinux

Beitrag von aki » 29.06.2020 10:57:03

Hallo zusammen,

ich bin noch absoluter Anfänger beim Thema SeLinux. Ich habe dies nun erstmals auf meinem Debian 10 unter Verwendung vom Debian Admin Handbuch https://debian-handbook.info/browse/de- ... linux.html eingerichtet. Das lief soweit auch alles ohne Probleme. Beim Befehl

Code: Alles auswählen

fixfiles relabel
gab es mehrer Warnungen bezüglich /sys/fs/cgroup und allem was dort drinnen ist. Es konnte kein default label erstellt werden ebenso bei /dev/mqueue . Da der oberste Zweig also /sys/fs/cgroup nur als lesend eingebunden wird und dies auch an gemeckert wird hatte ich dies dann testweise neu gemountet mit schreibenden Zugriff. Ein erneutes

Code: Alles auswählen

fixfiles relabel
brachte aber keine Veränderung. Wie tragisch das nun ist erschliesst sich mir leider nicht. Ich hatte auch wie vorgeschlagen im Buch das Modul unconfined deaktiviert um die "alten strengen Regeln" zu bekommen. Zudem habe ich auch meinen Hauptbenutzer dem SeLinux Nutzer staff_u zugeordnet welcher laut RedHat Doku sudo und su verwenden darf. Einen Testnutzer mit der Zuordnung zu user_u welcher das nicht verwenden darf habe ich auch erstellt. Danach habe ich den Moduns von SeLinux auf enforcing gesetzt und neu gestartet. Es konnte keines meiner Dateisysteme eingebunden werden da immer ein Premission denied kam. Beispiel: systemd-fstab-generator[398]: Failed to create unit file /run/systemd/generator/-.mount: Premission denied .
So habe ich also im Notfallmodus gebootet und habe ich das zuvor deaktivierte Modul wieder aktiviert und meine Benutzerzuordnung fur meinen Hauptbenutzer rückgängig gemacht. Den Testnutzer habe ich so gelassen. Ich startete das System neu und er bootete bis die grafische Oberfläche hier Gnome 3 mit Wayland geladen werden sollte. Es war kurz ein grauer Bildschirm zu sehen und dann stand das System. So habe ich wieder im Notfallmodus gebootet und den SeLinux mode von enforcing in permissive geändert. Das System startete sauber. Jetzt habe ich den automatischen grafischen Start abgeschaltet

Code: Alles auswählen

systemctl set-default multi-user.target
und nochmals den SeLinux mode auf durchsetzen geändert. Das System startet nun sauber hoch und ich kann über

Code: Alles auswählen

startx
nachträglich die grafische Oberfläche laden. Da ich wie gesagt absoluter Anfänger bei diesem Thema bin habe ich mich dann im Netz kundig gemacht wie man die verweigerten Sachen erlauben kann. Folgendes habe ich dann gemacht:

Code: Alles auswählen

cat /var/log/audit/audit.log | audit2allow -m local > local.te dann checkmodule -M -m -o local.mod local.te dann semodule_package -o local.pp local.mod und semodule -i local.pp
. Ich würde also erwarten das ein Modul erstellt wurde welches die in audit.log verweigerten Sachen erlaubt. Getestet habe ich es aber noch nicht. Es wäre schön wenn sich jemand finden würde der mir sagen kann ob meine Herangehensweise in Ordnung ist was die Warnungen zu sagen haben warum die Filesysteme nicht gemountet werden konnten in Bezug auf die Empfehlung mit dem Modul und eben auch die Problematik mit der grafischen Oberfläche. Zudem merke ich jetzt mit dem erzwingen der Richtlinie das z.B. Firebox meckert das Lesezeichen und co. nicht funktionieren weil sie in Verwendung eines anderen Prozesses seien mit dem Hinweis auf eine Schutzsoftware. Hier kurz noch die Daten zu meinem System:

Code: Alles auswählen

sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             default
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      31
sowie

Code: Alles auswählen

cat /etc/os-release 
PRETTY_NAME="Debian GNU/Linux 10 (buster)"
NAME="Debian GNU/Linux"
VERSION_ID="10"
VERSION="10 (buster)"
VERSION_CODENAME=buster
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"
und

Code: Alles auswählen

uname -r
4.19.0-9-amd64
.

Übrigens ich habe mit dem Testnutzer mal getestet ob wie in der RedHat Doku das su und sudo nicht benutzbar sind wohlgemerkt mit dem durchsetzen der Richtlinie. Das Ergebnis war das es trotzdem geht. Das lässt mich fragen liegt es an der Richtlinie oder ist die Integration in Debian von SeLinux schlecht und somit hier besser RedHat zu verwenden wäre.

Grüße

aki
Beiträge: 66
Registriert: 02.02.2018 11:48:58

Re: SeLinux

Beitrag von aki » 29.06.2020 11:35:08

Hallo zusammen,

ich habe nun das mit dem Modul versucht und ich kann nun im automatischen grafischen Modus starten.

Grüße

Antworten