Selinux est un système pour protéger ton pc et il te balance une alerte chaque fois qu'un truc lui parait louche, comme ici où snort, qui lui même est un soft de protection scanne tes ports usb 🙂

Ma foi perso. tu devrasi soit retirer snort ou baisser leur niveau de paranoïa (comme mettre selinux en permissift par exemple).

Ma foi perso. tu devrasi soit retirer snort ou baisser leur niveau de paranoïa (comme mettre selinux en permissift par exemple).

C'est clairement une hérésie pour moi (je suis un bon parano 🙂) ! Utiliser snort et passer SELinux en permissif, c'est un non sens. Donc temporairement, le mieux est de suivre le tuto proposé par pingou et rapporter le bug (normalement, il suffit d'appuyer sur un bouton).

Juste comme ça, pour le coup, je précise pour ceux qui l'ignorent que SELinux a été développé par...

La NSA. (Oui, ça vous met sur le popotin hein :lol:) (Ça m'a fait le même effet.)

http://www.nsa.gov/research/selinux/

En français http://fr.wikipedia.org/wiki/Selinux...
Après vu que les sources sont ouvertes, on s'en fiche! c'est vérifié!

Et le développement de base, après redhat/fedora et autres on pris le relai...

Bouska wrote:

Ma foi perso. tu devrasi soit retirer snort ou baisser leur niveau de paranoïa (comme mettre selinux en permissift par exemple).

C'est clairement une hérésie pour moi (je suis un bon parano 🙂) ! Utiliser snort et passer SELinux en permissif, c'est un non sens. Donc temporairement, le mieux est de suivre le tuto proposé par pingou et rapporter le bug (normalement, il suffit d'appuyer sur un bouton).

Voyons un peu les choses en faces, @polo_1_2_3_4, utilise son ordi en seulement pour surfer et faire quelques trucs, il ne gère pas un serveur web ou autres dessus. De plus comme j'ai dit on passe SElinux en mode permissif, on ne le désactive pas. D'après ce que j'ai pu comprendre, il a installé snort mais ne l'a pas paramétré.

Le mode permissif est une hérésie dans ce cas. En effet, tu aurais le "worst of both worlds" :
- SELinux désactivé (donc aucune protection)
- les alertes SELinux toujours présentes (ce qui est tout de même son problème ici)

Bah non car il va redemander le ré-étiquetage du système et tu n'auras plus les alertes. Par contre si une intrusion ou une nouvelle application (installé par la suite) arrive tu seras prévenues.

Refuznik wrote:

Le mode permissif est une hérésie dans ce cas. En effet, tu aurais le "worst of both worlds" :
- SELinux désactivé (donc aucune protection)
- les alertes SELinux toujours présentes (ce qui est tout de même son problème ici)

Bah non car il va redemander le ré-étiquetage du système et tu n'auras plus les alertes. Par contre si une intrusion ou une nouvelle application (installé par la suite) arrive tu seras prévenues.

Depuis quand passer en mode permissif demande un ré-étiquetage ?

Pour faire un ré-étiquetage, il suffit de faire :

# touch /.autorelabel

Puis de rebooter. Le système sera alors proprement ré-étiqueter, ce qui peut effectivement corriger certaines des alertes.

Mais pour rester protéger (en tous cas par SELinux), il convient d ele laisser en mode enforcing, c'est le seul qui bloque quoi que ce soit. Je le répète, le mode permissif laisse tout passer, mais en affichant tout de même les alertes, ce qui est le contraire de ce qui est souhaité ici.

La seule solution viable dans le cas présent me parait (après un ré-étiquetage pour être sûr) celle donnée par Bouska : signaler le bug. Soit Snort fait un truc pas clair pendant ses tests, et doit donc être corrigé, soit Snort est dans son bon droit et SELinux doit apprendre à le laisser faire.

Trois solutions me semblent envisageables temporairement :
1. désactiver dans Snort les tests qui fachent SELinux
2. désactiver complètement SELinux (berk >_<)
3. créer une règle SELinux pour modifier la politique et laisser passer les tests Snort en question

Le passage en mode permissif de SELinux n'en est pas une, puisqu'il est équivalent à la solution temporaire numéro 2, mais en conservant le bombardement d'alertes.