2006年12月30日

[selinux-users:01821] Re: FC6 as a SELinux server

藤原です。

FC6サーバが完成し、公開できました。
strictポリシの21になりました。

やりかたは、FC5の時と一緒です。

permissiveにしてサービスを一つだけ立ち上げ、


#cd /usr/share/selinux/devel

#audit2allow -i /var/log/audit/audit.log -m policyname > policyname.te

で.teファイルを作り、
.fcファイルでコンテキストを指定し、
望らくは.ifファイルで他のサービスが使えるインタフェスをつくります。

.fcファイルや.ifファイルがない場合は、
#touch policyname.if
#touch policyname.fc
として、空ファイルを作る手もあります。
でも、空ファイルをつくる場合は、緊急に権限を付与する場合にとどめ、
どのサービスか見極めた方がいいでしょう。

#make
#semodule -i policyname.pp
#touch /.autorelabel
#shutdown -r now
そして、
とすればいいんですよ。
それをサービスの数だけ繰り返します。

ポリシインストールの時、
エラーが出たときの処置にちょっと工夫がいります。
あるポリシを削除しようと思ったときに、
type/attributeが他で必要とされていると言われた場合ですよ。
その時は、他のポリシのその箇所をコメントアウトし、
バージョンを上げてmakeし、アップデートインストールすれば
解決します。
まあ、工夫すればどんな問題にも対処できるはずです。
私も、ついにFC6化に成功しましたけど、
cronだけがうまくいかないんです。
これは、FC5の時もそうだったんですけどね。
誰か助けて。。。
cron使えないと困りますよ。
FC5の時には解決するのに結構かかたんですけど、
よくわかっていなかったのがアダになってます。

#less /var/log/cron

STARTUP (V5.0)
Dec 30 07:17:20 intrajp crond[1637]: (system_u) Unauthorized SELinux
context (/etc/crontab)
Dec 30 07:17:20 intrajp crond[1637]: (root) Unauthorized SELinux context
(cron/root)
この時点でダメなんですよ。
この、Unauthorized SELinux contextがわからないんです...
ちゃんとしたラベルはついているはずなんですけどねー。
分かる方、御教示下さい...。

では、よいお年を。。

FC6サーバのつくりかた
http://intrajp.no-ip.com/webon/?contents_request=on&body_request=server_fedora_6

http://intrajp.no-ip.com/ myhomepage
http://intrajp.no-ip.com/xoops/ SELinux FORUM
http://intrajp.no-ip.com/pukiwiki/ SELinux Wiki

2006-12-29 (金) の 09:57 +0900 に Shintaro Fujiwara さんは書きました:
> 藤原@FC6化中サーバ止めてます です。
>
> 今、postgresqlをrc.localから立ち上げようとしています。
> james morrisさんが頑張ったという、key関係のエラーが出てきました。
> 私は、postgresqlモジュールを
> semodule -r postgresql
> として、自作のpostgresql_by_meというモジュールにしているので、
> typeもそういう名前になってたりします。
>
> [root@xxxxx ~]# less /var/log/audit/audit.log |grep denied
> type=AVC msg=audit(1167353368.717:6): avc: denied { write } for
> pid=1633 comm="runuser" scontext=system_u:system_r:initrc_t:s0
> tcontext=system_u:system_r:initrc_t:s0 tclass=key
> type=AVC msg=audit(1167353368.717:6): avc: denied { link } for
> pid=1633 comm="runuser" scontext=system_u:system_r:initrc_t:s0
> tcontext=system_u:system_r:initrc_t:s0 tclass=key
> type=AVC msg=audit(1167353368.753:7): avc: denied { create } for
> pid=1633 comm="runuser" scontext=system_u:system_r:initrc_t:s0
> tcontext=system_u:system_r:initrc_t:s0 tclass=netlink_audit_socket
> type=AVC msg=audit(1167353368.755:8): avc: denied { write } for
> pid=1633 comm="runuser" scontext=system_u:system_r:initrc_t:s0
> tcontext=system_u:system_r:initrc_t:s0 tclass=netlink_audit_socket
> type=AVC msg=audit(1167353368.755:8): avc: denied { nlmsg_relay } for
> pid=1633 comm="runuser" scontext=system_u:system_r:initrc_t:s0
> tcontext=system_u:system_r:initrc_t:s0 tclass=netlink_audit_socket
> type=AVC msg=audit(1167353368.757:10): avc: denied { read } for
> pid=1633 comm="runuser" scontext=system_u:system_r:initrc_t:s0
> tcontext=system_u:system_r:initrc_t:s0 tclass=netlink_audit_socket
> type=AVC msg=audit(1167353370.158:13): avc: denied { append } for
> pid=1656 comm="bash" name="server.log" dev=dm-0 ino=8660372
> scontext=system_u:system_r:initrc_t:s0
> tcontext=system_u:object_r:usr_t:s0 tclass=file
> type=AVC msg=audit(1167353370.278:14): avc: denied { search } for
> pid=1633 comm="runuser" scontext=system_u:system_r:initrc_t:s0
> tcontext=system_u:system_r:initrc_t:s0 tclass=key
> type=AVC msg=audit(1167353370.276:15): avc: denied { append } for
> pid=1656 comm="postgres" name="server.log" dev=dm-0 ino=8660372
> scontext=system_u:system_r:postgresql_by_me_t:s0
> tcontext=system_u:object_r:usr_t:s0 tclass=file
> type=AVC msg=audit(1167353378.436:22): avc: denied { node_bind } for
> pid=1656 comm="postgres" saddr=127.0.0.1 src=5432
> scontext=system_u:system_r:postgresql_by_me_t:s0
> tcontext=system_u:object_r:node_t:s0 tclass=tcp_socket
> type=AVC msg=audit(1167353378.439:23): avc: denied { node_bind } for
> pid=1656 comm="postgres" saddr=0000:0000:0000:0000:0000:0000:0000:0001
> src=5432 scontext=system_u:system_r:postgresql_by_me_t:s0
> tcontext=system_u:object_r:compat_ipv4_node_t:s0 tclass=tcp_socket
> type=AVC msg=audit(1167353378.789:28): avc: denied { node_bind } for
> pid=1656 comm="postgres" saddr=127.0.0.1
> scontext=system_u:system_r:postgresql_by_me_t:s0
> tcontext=system_u:object_r:node_t:s0 tclass=udp_socket
> type=AVC msg=audit(1167353387.969:35): avc: denied { link } for
> pid=1774 comm="su" scontext=staff_u:sysadm_r:sysadm_su_t:s0
> tcontext=system_u:system_r:kernel_t:s0 tclass=key
>
>
> FC6化が完成したら、下で公開です。
>
> > http://intrajp.no-ip.com/webon/?contents_request=on&body_request=server_fedora_6
> >
> >
> > http://intrajp.no-ip.com/ myhomepage
> > http://intrajp.no-ip.com/xoops/ SELinux FORUM
> > http://intrajp.no-ip.com/pukiwiki/ SELinux Wiki
> >
> >
> >
> >
>
>


投稿者 xml-rpc : 2006年12月30日 16:34
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/52143
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。