[Résolu] Pihole alternative ou selinux configuration

anonyme_04191 · 21/12/2019 20:57:27

Bonsoir,

Ayant récemment décidé de passer mes serveurs personnels sous Fedora (afin de profiter de SELinux) sur mes serveurs qui sont désormais exposés directement a internet.
Il se trouve que je souhaite pouvoir filtrer mes dns via Pi-Hole (ou un autre s'il en existe un), cependant après un test en VM (pour ne pas salir mon serveur pour un test) et un passage sur leur forum où hormis abandonner des fonctions de pi-hole ou couper SELINUX (persmissive mode),
aucune alternative viable n'a été proposée.

J'ai trouvé une personne proposant un réglage de SElinux.

voir : https://discourse.pi-hole.net/t/dnsmasq … ed/1415/19

Ne connaissant ni la syntaxe ni le fonctionnement interne de SELinux je préfère éviter de copier coller sans savoir si cela ne risque pas d'ouvrir une faille béante dans SELinux.

Je viens ici afin de voir si cette réponse sur leur forum est "secure" ou à trouver une alternative SELinux friendly à Pi-Hole.

Merci d'avance de l'aide que vous pourrez m'apporter.

PS : il va de soit qu'il est inenvisageable pour moi de désactiver SELinux, car je suis passé à Fedora pour lui.

B

MODO: correction des fautes

Nicosss · 21/12/2019 21:52:26

Tu as quoi comme AVC ?

nouvo09 · 21/12/2019 21:52:53

Ne connaissant ni la syntaxe ni le fonctionnement de SELinux

manifestement pas non plus des verbes du 1er groupe.

madko · 21/12/2019 22:47:55

Comment est installé pi-hole ? Il n'a pas l'air d'être officiellement proposé par Fedora.

anonyme_04191 · 22/12/2019 00:35:06

Nicosss a écrit :

Tu as quoi comme AVC ?

AVC ?

anonyme_04191 · 22/12/2019 00:39:10

madko a écrit :

Comment est installé pi-hole ? Il n'a pas l'air d'être officiellement proposé par Fedora.

Vu que je l'ai fait en VM, j'ai utilisé le git clone suivi de l'install (j'ai meme pour testé utilisé lighthttpd comme il le recommende durant l'installation, le coeur derrière fonctionne, mais l'interface est totalement inutilisable a moins de passé selinux en mode permissif.
sur ce forum, il semble que son commentaire marche, mais j'aimerais simplement l'avis de quelqu'un callé en SElinux, (car j'aime pas faire un copier collé de commande sans savoir ce que cela implique pour mon système).

Merci a ceux qui m'ont répondu de manière constructive.
Si je trouve une solution d'ici la je posterais le résultat ici

edit: retrait de la réponse au grammar-nazi

Dernière modification par anonyme_04191 (22/12/2019 00:47:29)

Nicosss · 22/12/2019 06:44:04

bevode a écrit :

Nicosss a écrit :
Tu as quoi comme AVC ?
AVC ?

Access Vector Cache, ce sont les violations de politique SELinux qui sont identifiées comme ça.

Si tu as SETroubleshoot installé tu peux voir les message en GUI, sinon ces commandes peuvent te servir :

# journalctl -t setroubleshoot --since=yesterday

# sealert -l [message_ID]

ou

# ausearch -m user_avc -ts today
# ausearch -m user_avc -ts this-week

ou

# aureport -a -ts this-week

Tu retrouveras une consignation aussi dans /var/log/audit/audit.log.

Ça devrait te permettre d'identifier les problèmes.

madko · 22/12/2019 12:37:31

Si tu veux comprendre un peu mieux ce qu'implique SELinux pour ton système il y a déjà pas mal d'info dans la doc ici https://doc.fedora-fr.org/wiki/SELinux

Après sans les AVC, on ne pourra pas comprendre ce qui bloque pihole. Souvent il y a un blocage pour l'ouverture d'un port TCP, histoire d'éviter des backdoors etc. Il va falloir faire comprendre à SELinux que ce que veut faire pihole est légitime. Il y aussi moyen de lancer un programme en permissif, sans passer tout le système en permissif.

nouvo09 · 22/12/2019 12:46:41

bevode a écrit :

edit: retrait de la réponse au grammar-nazi

Le terme "nazi" n'interpelle donc aucun modérateur ?

madko · 22/12/2019 19:12:47

@bevode merci de faire attention aux fautes, les règles du forum imposent un français correct. Il y avait certaines phrases qui étaient vraiment incompréhensibles. Bien écrire, c'est du respect pour ceux qui te lisent, et du temps gagner pour mieux te comprendre. Bref que du bon. Pas la peine de viser la perfection, mais avec une faute par phrase, la remarque de nouvo09 était plus que justifiée.

Après la doc SELinux, jette à œil à celle-ci https://www.francaisfacile.com/exercice … -57403.php il y a des règles simples pas éviter de se tromper.

madko · 22/12/2019 23:34:07

Pour en revenir au sujet, après l'installation de pi-hole, j'ai fait

sudo restorecon -rv /var/www

Tout simplement parce que les fichiers déposés ici par l'installation de pi-hole n'ont pas les bons contextes SELinux (cf la doc pour plus d'explication).

C'est pour autoriser lighttpd l'accès aux fichier de l'appli web d'administration. C'est optionnel si tu ne l'as pas activée lors de l'installation.

Et enfin, assez classique, pour que lighttpd/php-cgi (toujours pour l'application d'admin je suppose) puisse communiquer avec le démon pi-hole:

sudo setsebool -P httpd_can_network_connect 1

J'ai testé la résolution DNS et ça semble fonctionner. Mais via l'interface d'admin il y a beaucoup d'autres AVC et des trucs vraiment pas recommandés à autoriser. Sauf si la machine est exclusivement dédiée à pi-hole (ou éventuellement dans un conteneur docker/podman par ex, ou une VM).

anonyme_04191 · 24/12/2019 16:06:54

Merci je vais passé le sujet en résolu,
il se trouve que avant d'avoir lu ta réponse, j'ai vu qu'il existait dans dnscrypt un moyen de bloqué des listes,
ce que j'ai préféré utilisé, car il me permet de faire client DOH + Blockage de pub/tracker + Server DOH en une seul application et sans devoir touché a SELinux,
Cela plus un cron pour update la liste et le tours est jouer.

Merci a toi de ton aide, je vais ajouté cela a mes notes pour quand je reprendrais un VPS

Fedora-Fr - Communauté francophone Fedora - Linux

#1 21/12/2019 20:57:27

[Résolu] Pihole alternative ou selinux configuration

#2 21/12/2019 21:52:26

Re : [Résolu] Pihole alternative ou selinux configuration

#3 21/12/2019 21:52:53

Re : [Résolu] Pihole alternative ou selinux configuration

#4 21/12/2019 22:47:55

Re : [Résolu] Pihole alternative ou selinux configuration

#5 22/12/2019 00:35:06

Re : [Résolu] Pihole alternative ou selinux configuration

#6 22/12/2019 00:39:10

Re : [Résolu] Pihole alternative ou selinux configuration

#7 22/12/2019 06:44:04

Re : [Résolu] Pihole alternative ou selinux configuration

#8 22/12/2019 12:37:31

Re : [Résolu] Pihole alternative ou selinux configuration

#9 22/12/2019 12:46:41

Re : [Résolu] Pihole alternative ou selinux configuration

#10 22/12/2019 19:12:47

Re : [Résolu] Pihole alternative ou selinux configuration

#11 22/12/2019 23:34:07

Re : [Résolu] Pihole alternative ou selinux configuration

#12 24/12/2019 16:06:54

Re : [Résolu] Pihole alternative ou selinux configuration

Pied de page des forums