Титла: SELinux при Debian Lenny Публикувано от: phantomlord в Mar 10, 2009, 00:28 Реших днес пак да си поиграя със SELinux, но се натъкнах на проблем... Преди да излезе Lenny, го бях подкарал и работеше, но мисля, че като направих upgrade на системата се обнови и версията на SELinux. И така сега положението е следното:
Цитат ~# sestatusЛошото е, че за "The init process (PID 1) is running in an incorrect domain." в Google намирам точно 5 резултата, които не успяха да ми свършат работа. Порових се и проверих някои неща: Цитат ~# cat /boot/config-2.6.24.5-grsec | grep SELINUXТук ми прави впечатление CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0, което означава, че SELinux е деактивиран при boot. Обаче при положение, че не съм сменял и променял ядрото, а старата версия на SELinux е работила, едва ли това е проблема. Цитат # cat /boot/grub/menu.lst | grep selinuxИ тук параметрите ми се струват наред. Пробвах различни варианти с тях, като след всяка промяна изпълнявам selinux-activate, но все стигам до: Цитат ~# check-selinux-installationНякой сеща ли се къде бъркам, че останах без идеи? Титла: Re: SELinux при Debian Lenny Публикувано от: gat3way в Mar 10, 2009, 00:52 dmesg |grep SEL ?
Титла: Re: SELinux при Debian Lenny Публикувано от: phantomlord в Mar 10, 2009, 09:57 Цитат # dmesg |grep SEL && dmesg |grep seli Цитат # sestatus Цитат # check-selinux-installation Титла: Re: SELinux при Debian Lenny Публикувано от: gat3way в Mar 10, 2009, 10:39 Ммммм.... Пробвай:
touch /.autorelabel; reboot И провери след рестарта дали пак ще бълва същите глупости? Титла: Re: SELinux при Debian Lenny Публикувано от: phantomlord в Mar 10, 2009, 20:38 Мне, направих touch /.autorelabel, selinux-activate, reboot и пак:
Цитат ~# check-selinux-installation Титла: Re: SELinux при Debian Lenny Публикувано от: gat3way в Mar 10, 2009, 21:01 Бля, нещо генерално объркано има :)
Ми направи си го на ръка policy-to: apt-get install selinux-policy-src cd /usr/src tar -zxvf selinux-.....tar.gz cd selinux-policy-src make && make load И виж след това какво ще каже? Титла: Re: SELinux при Debian Lenny Публикувано от: phantomlord в Mar 10, 2009, 21:31 Май не е от policy-то а нещо с init става... Ето какво има в /usr/share/selinux-basics/tests/01_verify_init.py
Цитат class TestInitDomain(TestBase):Ама какво значи, че init e BadlyLabeled? До колкото разбирам от тук ($2) selinux вдига по подразбиране домейн kernel_t, но init се появява при стартирането, преди това. Титла: Re: SELinux при Debian Lenny Публикувано от: cdiem в Mar 10, 2009, 22:01 Гледам тук за това какво става по време на зареждане: http://www.redhat.com/magazine/001nov04/features/selinux/
... Може би е объркано policy-то. Можеш да опиташ да смениш името на най-новото policy в /etc/selinux/$POLICY_NAME/policy/policy.version; selinux ще опита да използва по-стара версия на policy-то, ако има такава в тази директория. При теб обаче ми се струва, че грешката е преди това - selinux не успява да зададе домейн kernel_t за init - това е вторият ред: ../proc/1 kernel.. Може би по някаква причина не намира selinux в kernela.. Дали е грешка в policy-то или в kernela, струва ми се, можеш да провериш ако опиташ да заредиш стандартно ядро на Debian със Selinux - вместо прекомпилираното с grsec. Ако не се окаже нито едно от двете, остават boot параметрите - макар че ми се струва, че при теб са настроени правилно..:) В линка по-горе (linuxjournal.com), мисля че selinux вече е задал kernel_t: jderiksen@dev ~ $ sudo check-selinux-installation ../proc/1 system_u:system_r:kernel_t:s0.. The init process (PID 1) is running in an incorrect domain. There were 35 processes found running in the kernel domain. Dynamic motd updating is enabled Just my 2 cents :) Титла: Re: SELinux при Debian Lenny Публикувано от: phantomlord в Mar 10, 2009, 22:34 Хммм... Не е от ядрото. Пробвах с другото ядро, което имам на системата - 2.6.18. И там е същото... Ще направя purge на всичко свързано със selinux, ще изтрия всякакви негови папки и конф. файлове и ще започна отначало начисто. Струва ми се, че нещо е останало от старата версия на selinux, което омазва нещата.
Титла: Re: SELinux при Debian Lenny Публикувано от: tolostoi в Mar 10, 2009, 23:24 Според мен, щеше да е по-добре да пробваш със стандартното за дистрото ядро 2.6.26-1-686, а не със старото 2.6.18, нали си ъпдейтнал до Debian 5 Lenny?
Титла: Re: SELinux при Debian Lenny Публикувано от: gat3way в Mar 11, 2009, 00:03 Значи проблема надали е в ядрото щом в dmesg си излизаха нещата. Не се оправи с relabel-ване на файловата система, предполагам значи policy-то нещо е осрано. Затова предложих да се изкомпилира ново такова от selinux policy source-a. Апропо, промяната им и изкомпилирването им става доста честа практика ако ползваш selinux (особено под дебиан), защото нещата не са домислени много добре и постоянно се пръкват разни съобщения за някой софтуер че няма позволение нещо да прави (а дебиан разработчиците явно въобще не са се сетили за такива варианти). audit2allow е другото много полезно нещо в случая :)
А иначе ако ползваш дебианския пакет с selinux policy-то е силно препоръчително да не си компилираш собствено ядро - очаквано е да стават такива драми. Аз от известно време насам съм спрял да си компилирам ядра и карам с готовите от дебиан, честно казано доста главоболия съм си спестил така и не си заслужава да се тормозя за малкото, което бих спечелил в противен случай. Титла: Re: SELinux при Debian Lenny Публикувано от: phantomlord в Mar 11, 2009, 00:59 При поредния reboot мернах едно съобщение, което минава толкова бързо през екрана, че е лесно да се пропусне... Не го намерих в dmesg, syslog, kern.log, messages, та трябваше да си снимам екрана и после да гледам на забавен каданс :D
Съобщението беше нещо от сорта, че selinux не може да зареди полицата от /etc/selinux/targeted/........... Още не ми е ясно защо я търси там при положение, че при инсталацията на новата версия тя е премахната и има само /etc/selinux/default/....... Използвах временно и дървено решение, което поне работи: Цитат ln -sv /etc/selinux/default/ /etc/selinux/targetedСлед рестарта - ново 20. Понеже ssh при мен не слуша на стандартния порт, не можах да се логна. Трябваше да разкачам и местя клавиатурата само за да изпълня командата: Цитат # semanage port -a -t ssh_port_t -p tcp 12341234 е примерен порт :) Та сега: Цитат ~# check-selinux-installation П.П.: Проблема няма нищо общо с прекомпилираното ядро и преди време стандартните ядра на Дебиан ме отказаха да ги ползвам :) От тогава ползвам само свое ядро. Титла: Re: SELinux при Debian Lenny Публикувано от: NaDa в Mar 11, 2009, 09:59 Гледам имаш и grsec, подозирам, че проблемът идва от там, дали би могъл да го спреш за опита? Имам доста машини със SELinux (макар и не Debian) и не съм изпитвал почти никакви проблеми (освен че на 2 пъти при update не бяха етикетирали ключови системни библиотеки, но през management конзолата го оправих набързо).
Титла: Re: SELinux при Debian Lenny Публикувано от: phantomlord в Mar 11, 2009, 12:07 По нагоре съм писал, че съм правил опит и с ядро 2.6.18. То не е пачнато с grsec, но при него имаше същия проблем.
Титла: Re: SELinux при Debian Lenny Публикувано от: plandz в Mar 11, 2009, 22:28 Да кажа и аз,че съм със мое компилирано ядро 2.6.28.4 и инсталиран SELinux на тестовата версия (squeeze) и никакви проблеми няма засега.Работи си на enforced-mode съвсем добре и никакви проблеми не ми създава.Т.е. просто си работи.
|