Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

SELinux ne m'aime pas (et inversement ?)

pmarion

Bonjour,
Depuis longtemps j'avais pris la (bonne/mauvaise ?) de désactiver SElinux par paresse mais aussi parce que j'avais plein de problèmes au démarrage de mes applications.
Je vois bien l'intérêt de SELinux mais je ne vois pas bien comment le faire fonctionner avec mes bonnes/mauvaises habitudes.
J'avais déjà fait un post sur la propagation des attributs de mes fichiers dans une sauvegarde avec rsync. Pour finir grâce au forum, j'ai eu une réponse ('man rsync' français incomplet), par la suite j'ai découvert que même 'man ls' n'est pas à jour des options SELinux , donc je me mets en LANG=eng anglais à partir de maintenant pour les man ! ! !
Je reviens donc sur mes problèmes SELinux maintenant que je sais propager mes attributs avec rsync.
Pour l'instant je travaille en mode permissif (pour pouvoir travailler car c'est quand même le but) et j'observe les alertes et essaie de les corriger.

Mes partitions systèmes sont sauvegardées régulièrement avec 'dd' donc pas de problème de propagation, mais mes partitions de données (msyql, www, bin,firefox, thunderbird, ... ) sont dans une partition qui est montée sous F7, F8, (F9 bêta), mandriva, ubuntu ce qui me permet d'avoir toutes mes données disponibles dans différents environnement. Et je peux comme cela avoir un environnement de développement reproduisant les différentes machines distantes (différents OS, applications, ..) dont je m'occupe.
Chaque système à sa home, car il y a trop d'incompatibilités entre les fichiers paramètres Kde, Gnome, ... de différents systèmes.
Par contre je crée dès que j'en ai besoin des liens symboliques entre chaque répertoire de ma partition commune et des répertoires système (/var/www, /var/lib/mysql, ...) et des répertoires dans /home : Mes documents, Musiques, .mozilla (ou au moins mes marques pages), thunderbird, ou au moins mes courriels).

j'ai été amené à modifier les attributs SELinux de certains liens symboliques, mais il m'en reste toujours qui posent des problèmes.

Exemple : J'ai un fichier de configuration apache qui passait par deux niveaux de liens symboliques (/etc//httpd/conf.d/xxxxx.conf -> /home/pma/etc/xxxxx.conf -> /commun1/etc/xxxxx.conf). j'ai dû le passer à un seul niveau, autrement SELinux y voyait toujours à redire. Mais maintenant ce fichier qui m'appartient n'est plus modifiable avec gvim (alerte sur le mv que fait gvim pour gérer une sauvegarde) . Or j'ai la bonne/mauvaise habitude d'utiliser gvim pour maintenir mes fichiers.
Le fichier de configuration xxxxx.conf a comme attribut 'system_u:object_r:httpd_config_t' sinon le démarrage d'apache déclenche une alerte. Mais le répertoire /commun1/etc a cet attribut 'system_u:object_r:user_home_dir_t:s0' car il contient d'autres fichier utilisés par mes applications perl/mysql locales mais aussi cgi.

Trois niveaux de liens n'est pas l'optimum pour un serveur de production, mais sur les serveurs de production dont je m'occupe, il n'y a qu'un seul niveau (et que penser des trois niveaux /usr/bin/xxxx -> /etc/alternatives/yyy-xxxxx -> /usr/bin/zzzzzz).

Même problème pour le favicon.ico qui est un lien qui me permet de changer comme je le désire mon mini-icône www.

De plus j'utilise 'tmpwatch' pour surveiller/nettoyer
J'ai régulièrement des alertes sur mes /tmp/cgi.sessionxxxxxxx' et d'autres fichiers temporaires . 'tmpwatch' est-il incompatible avec SElinux ou faut-il rejeter la faute aux programmes qui créent des fichiers temporaires ?

SEtroubleshoot m'affiche à chaque fois le contexte mais ne donne jamais le chemin absolu du fichier qui n'aurait pas le bon contexte, et cela est très pénible car me dire que './favicon.ico' n'a pas le bon attribut ne me renseigne pas sur le fichier 'favicon.ico' dont il parle (et j'en ai un par VirtualHost donc deux ou trois liens par VH). Quant au solutions préconisées, elles sont souvent répétitives.

Excusez, moi d'avoir été si long, mais ce n'est que le résumé des problèmes actuels et je découvre une ou deux nouvelles alertes par jour, au fur et à mesure que je démarre des applications qui ne tournent pas tous les jours (maintenance d'applications qui tournent quotidiennement sur des sites distants, mais pas quotidiennement sur ma machine)

Existe-t-il une bible de ce qu'il fait faire/ne pas faire pour être conforme avec SELinux.

Tout laisser dans /var sans aucune extension vers mon disque commun fonctionne mais c'est beaucoup trop rigide.

aka Shiva

Salut pmarion,

Je ne suis pas du tout concerné par tout ça mais je me suis intéressé à tes questions. Les considérations générales relatives à SELinux ici et là vont un peu dans ton sens puisque beaucoup d'admins le désactiveraient justement afin de contourner les difficultés de sa configuration avec 'vi'

Il y aurait donc alors une interface graphique utilisateur, les GUI tools de SE Linux (polgengui) dont voici le how-to:
http://www.redhatmagazine.com/2007/08/21/a-step-by-step-guide-to-building-a-new-selinux-policy-module/

En espérant avoir aidé...

proxy

Salut,

je pense que tu as atteint les limites de configuration de SeLinux, ou alors tu risques de mettre en place une usine à gaz d'une complexité pas du tout conforme à la cible recherchée.
Je gére moi-même pas mal de serveurs sous Linux depuis une dizaine d'années avec des montages, des liens un peu dans tous les sens, et je désactive SYSTEMATIQUEMENT SeLinux à l'install !! 🙁

pmarion

@proxy
Merci de ta réponse qui semblerait confirmer ma première impression. Mais je pensais que SElinux était conçu pour protéger les serveurs de productions , les serveurs de test, les stations de travail.

Si je mets un serveur de production (plus simple que ma machine de test) et que je fais un rsync -X (pour propager les attributs) de mes fichiers de configuration, ne vais-je pas rencontrer les mêmes problèmes qu'avec 'gvim' ?

william

Je ne pense pas que le problème que tu rencontres soit lié particulièrement à SELinux mais plutot à ta façon de travailler ...
Faire des liens sur des liens bof bof
Mettre des fichiers de conf dans un /home bof bof
Un serveur http sur la même machine que des fichiers relatifs a KDE / Gnome ... bof bof.
Essaye de revoir ton "architecture" et tu verras que la configuration de SELinux sera plus simple.
@proxy : sauvage !!! tu dis ça parce que tu ne le maitrise pas bien 😉
PS/ Ce message n'est pas un troll / N'engage que moi / DE plus SElinux c'est vachement bien / Il contient de l'humour
J'ai l'impression d'entendre des admin windows qui découvre Linux : Ouai Linux ça a l'air bien mais c'est compliqué ...

proxy

Oui, c'est vrai que le désactivant systématiquement, je ne le maîtrise pas !! Mais de la à me faire traiter d'admin Windows qui découvre Linux !!! moi qui ai banni M$ et suis sous Linux depuis 1995 !!! 🙂

pmarion

@william
Faire des liens sur des liens bof bof
Que dire des liens existant dans /etc/alternatives ?

Un serveur http sur la même machine que des fichiers relatifs a KDE / Gnome ... bof bof.
Ce n'est pas un serveur de production, mais un serveur de développement/test

Je comprends bien que mes fichiers de configuration apache seraient mieux dans /etc/httpd/conf.d, mais comment isoler facilement ses propres fichiers. Comment travailler avec plusieurs distributions.
J'ai essayé de les mettre dans un répertoire 'conf.d' qui aurait les bons attributs et ça marche mais que de complications. Pour un rsync /etc il faudra un 'rsync etc conf.d'

Pour mysql, je ne veux absolument avoir mes bases de données dans /var/lib (cela prendrait beaucoup trop de place) et à part des chcon dans mes répertoires mysql, fastidieux au départ, cela semble tourner.

Que dire de 'tmpwatch' qui déclenche des alertes sur les fichiers de manoeuvre dans /tmp

Tout ce que je voudrais c'est pourvoir dire à SELinux qu'il doit exister des exceptions à sa rigueur (lourdeur?) de fonctionnement.
J'aimerais pouvoir lui dire quels sont les liens symboliques qu'il doit accepter, et surtout protéger. Car il est évident que je voudrais que SELinux protége mes fichiers (et mes liens) contre des intentions malveillantes. Je ne veux pas que ma home soit une zone démilitarisée, mais que mes fichiers système (cibles de liens) soient protégés comme le sont ceux d'un système plus monolithique.

william

Bon c'est vrai /etc/alternatives == des liens sur des liens ... mais n'y a t il pas une politique SELinux pour ces fichiers 😛

Pour le serveur de dev/test ok. Mais pourquoi pas une machine virtuelle de "pre-prod" ?

Pour les fichiers de conf je suis sur que tu as déjà fais un script ... 🙂

Pour tes bases mysql => un Logical Volume dédié que tu peux agrandir comme tu veux.

Pour tmpwatch c'est peut être une politique pas encore écrite

En fait ce qu'il faut bien comprendre c'est que SELinux respecte le FHS ( File Hierarchy Standard )[1] ... je te laisse imaginer le bordel si ça n'existait pas.

Pour pouvoir indiquer à SElinux "tes exceptions" il faut écrire une politique personnalisée [2], c'est le coût de la sécurité, Pour comprendre comment le lui dire ( rapidement ) lance un audit2allow -al je suis persuadé que tu vas saisir le sens. Mais si je peux me permettre un conseil ( qui souffre de nombreuses exceptions j'en suis sure ) essaye de coller au plus près des standards ( conf dans /etc/ ...) et les adaptations à la politique SElinux seront minimes

@proxy : moi trolleur ? jamais 🙂

[1] http://www.pathname.com/fhs/
[2] http://www.redhatmagazine.com/2007/08/21/a-step-by-step-guide-to-building-a-new-%20selinux-policy-module/

pmarion

@william
Mais pourquoi pas une machine virtuelle de "pre-prod" ?

Avec SELinux cette machine virtuelle ? ? ?
Et de plus ce n'est pas une machine virtuelle qu'il me faudrait mais cinq ou six, alors que sur ma machine un ou deux liens symboliques à refaire et je trouve l'environnement de test/développement que je désire.

SELinux respecte le FHS ( File Hierarchy Standard )
Mais Fedora respecte-t-il intégralement le FHS (comme les autres distributions ? ? ). Si toutes les distributions respectaient un FHS strict , on ne serait pas toujours en train de rechercher ses billes entre /usr/lib /usr/local j'en passe et des meilleures .

Le FHS 2.3 ne parle pas de /etc/httpd (pour ne parler que de lui), mais si on voit comment apache est installé dans F8 il existe un lien ' /etc/httpd/logs -> ../../var/log/httpd' donc apache ne suivrait pas le FHS ou s'en sortirait avec un lien symbolique, c'est exactement ce que je veux faire ? ?

D'autre part je viens d'essayer la F9 BETA après la F9 ALPHA (sans installer aucune application/lien personnel) , et pour ces deux versions ils est impossible de travailler avec SELinux Enforcing. Je sais bien que c'est une BETA, mais cela prouve que cela n'a pas l'air aussi simple que de respecter le FHS et SELinux.