Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[SELINUX] Enlever les erreurs

dorian53

Bonjour,

Je souhaiterais ne plus avoir ces erreurs dans les logs sans pour autant désactiver totalement SELINUX.

Configurer SELINUX en "permissive" est-il convenable, car je ne sais pas encore comment l'utiliser.

Merci,
Dorian

Dec 16 21:52:04 H1120 kernel: audit(1166302324.263:45): avc: denied { create } for pid=3046 comm="httpd" name="1.jpeg" scontext=root:system_r:httpd_t:s0 tcontext=root:object_r:user_home_t:s0 tclass=file
Dec 16 21:52:04 H1120 kernel: audit(1166302324.265:46): avc: denied { write } for pid=3046 comm="httpd" name="1.jpeg" dev=dm-0 ino=2002611 scontext=root:system_r:httpd_t:s0 tcontext=root:object_r:user_home_t:s0 tclass=file
Dec 16 22:01:26 H1120 kernel: audit(1166302886.055:47): avc: denied { read } for pid=3518 comm="sendmail" name="[12616]" dev=eventpollfs ino=12616 scontext=root:system_r:system_mail_t:s0 tcontext=root:system_r:httpd_t:s0 tclass=file
Dec 16 22:01:26 H1120 kernel: audit(1166302886.060:48): avc: denied { read } for pid=3518 comm="sendmail" name="main.cf" dev=dm-0 ino=2131642 scontext=root:system_r:system_mail_t:s0 tcontext=root:object_r:user_home_t:s0 tclass=file
Dec 16 22:01:26 H1120 kernel: audit(1166302886.060:49): avc: denied { getattr } for pid=3518 comm="sendmail" name="main.cf" dev=dm-0 ino=2131642 scontext=root:system_r:system_mail_t:s0 tcontext=root:object_r:user_home_t:s0 tclass=file

perceval

Salut sur FC5 , j'ai utilisée le mode permissive pour utilisée une carte ati. Et je n'est pas eu de problème . Par contre je ne suis pas un spécialiste de SELINUX, c'est juste un retours d'expérience.
J'espère que tu aura des réponse plus complète

dorian53

Salut,

J'ai oublié de préciser que j'étais actuellement en permissive.

Merci.

kwizart

A ma connaissance, le mode permissive est utilisé pour voir les problèmes éventuels (et donc produits des messages et avertissements) mais sans utiliser Selinux, c'est donc équivalent au mode disabled!
Théoriquement le mode strict devrait fonctionner avec les dernieres versions des drivers nvidia et ati ou alors il faut installer les selinux-policy qui sont les politiques de contextes utilsé pour ces modules...

dorian53

A ma connaissance, le mode permissive est utilisé pour voir les problèmes éventuels (et donc produits des messages et avertissements) mais sans utiliser Selinux, c'est donc équivalent au mode disabled!

Je suis d'accord sur ce point j'ai lu ça aussi 🙂

Mais pour faire propre comment enlever ces alertes et autoriser postfix visiblement ?

bochecha

Si tu veux supprimer ces messages d'erreur, la meilleure solution serait peut etre de configurer correctement selinux 😉

Sinon, tu peux installer le daemon audit (via yum). Les erreurs de selinux sont alors stockees dans /var/log/audit/audit.log, et je crois (mais n'en suis pas sur) qu'elles ne sont alors plus ecrites dans /var/log/messages.

Enfin, pour t'aider a configurer correctement selinux tu peux utiliser setroubleshoot qui affiche une popup dans la zone de notification a chaque erreur ainsi qu'un message comprehensible par un humain concernant sa resolution.

dorian53

bochecha wrote:Si tu veux supprimer ces messages d'erreur, la meilleure solution serait peut etre de configurer correctement selinux 😉

Oui c'est ce que je souhaiterais faire 🙂 mais je ne sais pas comment.

bochecha wrote:Enfin, pour t'aider a configurer correctement selinux tu peux utiliser setroubleshoot qui affiche une popup dans la zone de notification a chaque erreur ainsi qu'un message comprehensible par un humain concernant sa resolution.

Je suis en mode console.

bochecha

En console ? Alors va falloir que tu apprennes a decrypter les avc denials, et la sincerement... :-?

Sinon, le setroubleshooter a peut etre une tui... Qui sait ?

dorian53

Visiblement il semble compliqué à configurer, autant le désactiver totalement ?

nouvo09

dorian53 wrote:Visiblement il semble compliqué à configurer, autant le désactiver totalement ?

Moi c'est ce que j'ai fait. Par flemme surtout. Mais je pense que pour un serveur il est hors de question de s'en priver..

dorian53

Le seul tuto que j'ai trouvé est celui-ci http://www.supinfo-projects.com/fr/2005/selinux_2005/

Malheureusement je n'ai pas trouvé les explications très claires.
Personne ne maitrise selinux ?

dorian53

Si j'ai bien compris, selinux analyse les utilisateurs et les programmes...

Il ne joue donc aucun rôle face aux attaques extérieures (contrairement au pare-feu).

Peut-on penser qu'on puisse le désactiver sans crainte ?

bochecha

En fait si j'ai bien compris, selinux joue a une espece de "jeu de roles". Il attribue des "contexte" aux differents fichiers, et ceux-ci ne peuvent etre utilises que dans ce contexte precis. Par exemple, un partage samba dans un repertoire perso (/home/xxx/...). Ces donnees sont etiquetees ave le contexte "donnees utilisateur" et selinux en bloque donc l'acces au serveur samba. Si on leur donne le contexte "partage samba", alors selinux laissera passer (un probleme similaire se produit avec les serveurs web).

L'idee n'est donc pas de refaire un firewall, mais plutot d'empecher des attaques "internes", qui ont ete laissees passees par le firewall car elles semblaient relever de l'utilisation normale...

Enfin ca c'est ce que j'ai cru en comprendre hein... rien ne dit que c'est effectivement comme ca que ca marche :-D

Plus de lecture :
- http://www.nsa.gov/selinux/ (le site de selinux)
- http://www.gentoo.org/proj/en/hardened/selinux/selinux-handbook.xml?part=3&chap=1 (chez gentoo ils sont connus pour faire de tres bonnes docs 🙂)

dorian53

Je suis d'accord avec ton explication sur le principe de fonctionnement.
C'est parce que selinux est un outil de controle interne que j'estime pouvoir m'en passer.

bochecha

C'est toi qui voit, personnellement je l'ai aisse sur mon pc qui me sert presqu'uniquement comme ordi de salon (internet, multimedia, etc...) et tres peu pour developper.

Maintenant, une attaque interne peut tres bien venir de l'exterieur. Si quelqu'un (exterieur) essaie de faire faire quelque chose de mal a ton serveur apache (interieur) ben c'est selinux qui devrait bloquer l'attaque et pas le firewall (simple requete http donc laisse passer).

M'enfin c'est vrai que meme si l'idee est excellente, c'est inutilisable au possible (a part avec le setroubleshooter que tu ne semble pas pouvoir utiliser puisque sans interface graphique :-?)

VINDICATORs

c'est clair qu'au niveau explication en français ils sont radin (sans doute parce que ça vient de la NSA...)

bochecha

En fait j'ai surtout l'impression qu'a part ses createurs et deux ou trois geeks enfermes dans leur cave, personne ne comprend suffisemment comment ca marche pour en pondre une reelle documentation... :-?

VINDICATORs

j'avais commencé la traduction de la documentation qu'il y avait chez redhat, mais j'ai pas le temps de m'y remettre (faudra que je pense à retrouver le fichier...)! c'était fini à 70%... donc à voir!