Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 30 est mort ce soir

#1 21/12/2019 20:57:27

anonyme_04191
Invité

[Résolu] Pihole alternative ou selinux configuration

Bonsoir,

Ayant récemment décidé de passer mes serveurs personnels sous Fedora (afin de profiter de SELinux) sur mes serveurs qui sont désormais exposés directement a internet.
Il se trouve que je souhaite pouvoir filtrer mes dns via Pi-Hole (ou un autre s'il en existe un), cependant après un test en VM (pour ne pas salir mon serveur pour un test) et un passage sur leur forum où hormis abandonner des fonctions de pi-hole ou couper SELINUX (persmissive mode),
aucune alternative viable n'a été proposée.

J'ai trouvé une personne proposant un réglage de SElinux.

voir : https://discourse.pi-hole.net/t/dnsmasq … ed/1415/19

Ne connaissant ni la syntaxe ni le fonctionnement interne de SELinux je préfère éviter de copier coller sans savoir si cela ne risque pas d'ouvrir une faille béante dans SELinux.

Je viens ici afin de voir si cette réponse sur leur forum est "secure" ou à trouver une alternative SELinux friendly à Pi-Hole.

Merci d'avance de l'aide que vous pourrez m'apporter.

PS : il va de soit qu'il est inenvisageable pour moi de désactiver SELinux, car je suis passé à Fedora pour lui.

B

MODO: correction des fautes

#2 21/12/2019 21:52:26

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 5 758
Site Web

Re : [Résolu] Pihole alternative ou selinux configuration

Tu as quoi comme AVC ?


F32_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F32_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F32_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#3 21/12/2019 21:52:53

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 22 521

Re : [Résolu] Pihole alternative ou selinux configuration

Ne connaissant ni la syntaxe ni le fonctionnement de SELinux

manifestement pas non plus des verbes du 1er groupe.


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#4 21/12/2019 22:47:55

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 458
Site Web

Re : [Résolu] Pihole alternative ou selinux configuration

Comment est installé pi-hole ? Il n'a pas l'air d'être officiellement proposé par Fedora.


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#5 22/12/2019 00:35:06

anonyme_04191
Invité

Re : [Résolu] Pihole alternative ou selinux configuration

Nicosss a écrit :

Tu as quoi comme AVC ?

AVC ?

#6 22/12/2019 00:39:10

anonyme_04191
Invité

Re : [Résolu] Pihole alternative ou selinux configuration

madko a écrit :

Comment est installé pi-hole ? Il n'a pas l'air d'être officiellement proposé par Fedora.

Vu que je l'ai fait en VM, j'ai utilisé le git clone suivi de l'install (j'ai meme pour testé utilisé lighthttpd comme il le recommende durant l'installation, le coeur derrière fonctionne, mais l'interface est totalement inutilisable a moins de passé selinux en mode permissif.
sur ce forum, il semble que son commentaire marche, mais j'aimerais simplement l'avis de quelqu'un callé en SElinux, (car j'aime pas faire un copier collé de commande sans savoir ce que cela implique pour mon système).

Merci a ceux qui m'ont répondu de manière constructive.
Si je trouve une solution d'ici la je posterais le résultat ici

edit: retrait de la réponse au grammar-nazi

Dernière modification par anonyme_04191 (22/12/2019 00:47:29)

#7 22/12/2019 06:44:04

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 5 758
Site Web

Re : [Résolu] Pihole alternative ou selinux configuration

bevode a écrit :
Nicosss a écrit :

Tu as quoi comme AVC ?

AVC ?

Access Vector Cache, ce sont les violations de politique SELinux qui sont identifiées comme ça.

Si tu as SETroubleshoot installé tu peux voir les message en GUI, sinon ces commandes peuvent te servir :

# journalctl -t setroubleshoot --since=yesterday

# sealert -l [message_ID]

ou

# ausearch -m user_avc -ts today
# ausearch -m user_avc -ts this-week

ou

# aureport -a -ts this-week

Tu retrouveras une consignation aussi dans /var/log/audit/audit.log.

Ça devrait te permettre d'identifier les problèmes.


F32_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F32_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F32_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#8 22/12/2019 12:37:31

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 458
Site Web

Re : [Résolu] Pihole alternative ou selinux configuration

Si tu veux comprendre un peu mieux ce qu'implique SELinux pour ton système il y a déjà pas mal d'info dans la doc ici https://doc.fedora-fr.org/wiki/SELinux

Après sans les AVC, on ne pourra pas comprendre ce qui bloque pihole. Souvent il y a un blocage pour l'ouverture d'un port TCP, histoire d'éviter des backdoors etc. Il va falloir faire comprendre à SELinux que ce que veut faire pihole est légitime. Il y aussi moyen de lancer un programme en permissif, sans passer tout le système en permissif.


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#9 22/12/2019 12:46:41

nouvo09
Accro à Fedo !
Lieu : Paris
Inscription : 22/09/2005
Messages : 22 521

Re : [Résolu] Pihole alternative ou selinux configuration

bevode a écrit :

edit: retrait de la réponse au grammar-nazi

Le terme "nazi" n'interpelle donc aucun modérateur ?


C'est pas parce que c'est difficile qu'on n'ose pas,
c'est parce qu'on ose pas que c'est difficile !

Hors ligne

#10 22/12/2019 19:12:47

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 458
Site Web

Re : [Résolu] Pihole alternative ou selinux configuration

@bevode merci de faire attention aux fautes, les règles du forum imposent un français correct. Il y avait certaines phrases qui étaient vraiment incompréhensibles. Bien écrire, c'est du respect pour ceux qui te lisent, et du temps gagner pour mieux te comprendre. Bref que du bon. Pas la peine de viser la perfection, mais avec une faute par phrase, la remarque de nouvo09 était plus que justifiée.

Après la doc SELinux, jette à œil à celle-ci https://www.francaisfacile.com/exercice … -57403.php il y a des règles simples pas éviter de se tromper.


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#11 22/12/2019 23:34:07

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 458
Site Web

Re : [Résolu] Pihole alternative ou selinux configuration

Pour en revenir au sujet, après l'installation de pi-hole, j'ai fait

sudo restorecon -rv /var/www

Tout simplement parce que les fichiers déposés ici par l'installation de pi-hole n'ont pas les bons contextes SELinux (cf la doc pour plus d'explication).

C'est pour autoriser lighttpd l'accès aux fichier de l'appli web d'administration. C'est optionnel si tu ne l'as pas activée lors de l'installation.

Et enfin, assez classique, pour que lighttpd/php-cgi (toujours pour l'application d'admin je suppose) puisse communiquer avec le démon pi-hole:

sudo setsebool -P httpd_can_network_connect 1

J'ai testé la résolution DNS et ça semble fonctionner. Mais via l'interface d'admin il y a beaucoup d'autres AVC et des trucs vraiment pas recommandés à autoriser. Sauf si la machine est exclusivement dédiée à pi-hole (ou éventuellement dans un conteneur docker/podman par ex, ou une VM).


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#12 24/12/2019 16:06:54

anonyme_04191
Invité

Re : [Résolu] Pihole alternative ou selinux configuration

Merci je vais passé le sujet en résolu,
il se trouve que avant d'avoir lu ta réponse, j'ai vu qu'il existait dans dnscrypt un moyen de bloqué des listes,
ce que j'ai préféré utilisé, car il me permet de faire client DOH + Blockage de pub/tracker + Server DOH en une seul application et sans devoir touché a SELinux,
Cela plus un cron pour update la liste et le tours est jouer.

Merci a toi de ton aide, je vais ajouté cela a mes notes pour quand je reprendrais un VPS

Pied de page des forums