SElinux - проблема с ssh login после ребута

1

1

На Ubuntu 20.04 установил selinux и соответствующие пакеты

# apt install policycoreutils selinux-utils selinux-basics auditd audispd-plugins

Потом выполнил следующие команды

# selinux-activate

# selinux-config-enforcing

и ребутнул сервер. Теперь не могу зайти на сервер - приглашение логин появляется а password нет. Указал в GRUB selinux=0 и залогинился по ssh. Достаточно ли теперь выполнить

# semanage port -a -t ssh_port_t -p tcp 22

для успешного последующего входа по ssh при уже работающем SElinux?

←	Portage игнорирует локальный оверлей

Как редактировать конфиг nextcloud, если он установлен через snap

→

Начни лучше с режима permissive.
А потом посмотришь что не так и будешь исправлять.
А уж как всё настроишь, то можно и enforcing включать.

imul ★★★★★
(08.06.22 13:04:00 MSK)

Ответ на: комментарий от imul 08.06.22 13:04:00 MSK

ok, спс с permissive я всегда смогу подключиться по ssh значит…

zorinquen ★
(08.06.22 13:19:41 MSK) автор топика

Ответ на: комментарий от zorinquen 08.06.22 13:19:41 MSK

Сможешь, но фактически selinux в этом режиме ничего не делает, только в логи аудита пишет что может пойти не так.

imul ★★★★★
(08.06.22 13:22:40 MSK)

На Ubuntu 20.04 установил selinux

Само по себе нехорошая идея. Тем, что на Ubuntu.

Файлы в / после такой установки имеют какой-либо контекст безопасности?

i586 ★★★★★
(09.06.22 02:34:49 MSK)
Последнее исправление: i586 09.06.22 02:36:48 MSK (всего исправлений: 1)

Ответ на: комментарий от i586 09.06.22 02:34:49 MSK

Похоже, что имеют контекст безопасности

# ls -lZ /
total 4194372
lrwxrwxrwx.   1 root root system_u:object_r:bin_t:s0                    7 Feb 23 08:49 bin -> usr/bin
drwxr-xr-x.   5 root root system_u:object_r:boot_t:s0                4096 Jun  9 06:15 boot
drwxr-xr-x   19 root root ?                                          4000 Jun  8 16:40 dev
drwxr-xr-x. 115 root root system_u:object_r:etc_t:s0                 4096 Jun  9 06:15 etc
drwxr-xr-x.   3 root root system_u:object_r:home_root_t:s0           4096 Jun  5 13:33 home
lrwxrwxrwx.   1 root root system_u:object_r:lib_t:s0                    7 Feb 23 08:49 lib -> usr/lib
lrwxrwxrwx.   1 root root system_u:object_r:lib_t:s0                    9 Feb 23 08:49 lib32 -> usr/lib32
lrwxrwxrwx.   1 root root system_u:object_r:lib_t:s0                    9 Feb 23 08:49 lib64 -> usr/lib64
lrwxrwxrwx.   1 root root system_u:object_r:lib_t:s0                   10 Feb 23 08:49 libx32 -> usr/libx32
drwx------.   2 root root system_u:object_r:lost_found_t:s0         16384 Jun  5 13:03 lost+found
drwxr-xr-x.   2 root root system_u:object_r:mnt_t:s0                 4096 Feb 23 08:50 media
drwxr-xr-x.   3 root root system_u:object_r:mnt_t:s0                 4096 Jun  6 13:16 mnt
drwxr-xr-x.   2 root root system_u:object_r:usr_t:s0                 4096 Feb 23 08:50 opt
dr-xr-xr-x  209 root root ?                                             0 Jun  8 16:40 proc
drwx------.   9 root root system_u:object_r:user_home_dir_t:s0       4096 Jun  8 16:52 root
drwxr-xr-x   31 root root ?                                           960 Jun  9 08:45 run
lrwxrwxrwx.   1 root root system_u:object_r:bin_t:s0                    8 Feb 23 08:49 sbin -> usr/sbin
drwxr-xr-x.   6 root root system_u:object_r:default_t:s0             4096 Feb 23 08:57 snap
drwxr-xr-x.   2 root root system_u:object_r:var_t:s0                 4096 Feb 23 08:50 srv
-rw-------.   1 root root system_u:object_r:default_t:s0       4294967296 Jun  5 13:04 swap.img
dr-xr-xr-x   13 root root ?                                             0 Jun  8 16:40 sys
drwxrwxrwt.  14 root root system_u:object_r:tmp_t:s0                 4096 Jun  9 08:39 tmp
drwxr-xr-x.  14 root root system_u:object_r:usr_t:s0                 4096 Feb 23 08:53 usr
drwxr-xr-x.  14 root root system_u:object_r:var_t:s0                 4096 Jun  5 15:55 var

zorinquen ★
(09.06.22 11:59:14 MSK) автор топика

Ответ на: комментарий от zorinquen 09.06.22 11:59:14 MSK

Таки нет.

#sestatus

i586 ★★★★★
(09.06.22 13:06:47 MSK)

Ответ на: комментарий от i586 09.06.22 13:06:47 MSK

После ребута в выводе sestatus: permissive mode.

zorinquen ★
(09.06.22 14:51:33 MSK) автор топика

Ответ на: комментарий от zorinquen 09.06.22 14:51:33 MSK

После выполнения следуюших команд

# audit2allow -w -a

# audit2allow -a

# audit2allow -a -M mycertwatch

# semodule -i mycertwatch.pp

и явного включения enforcing mode в /etc/selinux/config с последующим ребутом, система теперь нормально работает с возможностью удаленного SSH логина при

#sestatus
SELinux status:                 enabled                                                                                                                       
SELinuxfs mount:                /sys/fs/selinux                                                                                                               
SELinux root directory:         /etc/selinux                                                                                                                  
Loaded policy name:             default                                                                                                                       
Current mode:                   enforcing                                                                                                                     
Mode from config file:          enforcing                                                                                                                     
Policy MLS status:              enabled                                                                                                                       
Policy deny_unknown status:     allowed                                                                                                                       
Memory protection checking:     requested (insecure)                                                                                                          
Max kernel policy version:      31

zorinquen ★
(09.06.22 16:05:50 MSK) автор топика

Ответ на: комментарий от zorinquen 09.06.22 16:05:50 MSK

А теперь опрос: Вы отключаете selinux после установки ОС? :))

~~Boott~~
(11.06.22 13:31:27 MSK)

Ответ на: комментарий от Boott 11.06.22 13:31:27 MSK

Да

Нет

Пофик

~~Boott~~
(11.06.22 14:35:09 MSK)

Ответ на: комментарий от Boott 11.06.22 14:35:09 MSK

Не хватает «в зависимости от…»

anc ★★★★★
(11.06.22 15:09:35 MSK)

Ответ на: комментарий от anc 11.06.22 15:09:35 MSK

От обстоятельств наверное.

~~Boott~~
(11.06.22 15:48:14 MSK)

Ответ на: комментарий от Boott 11.06.22 15:48:14 MSK

Как то Все Узеры Лора промолчали Молчание знак согласия..

~~Boott~~
(12.06.22 14:40:34 MSK)

Ответ на: комментарий от Boott 12.06.22 14:40:34 MSK

Не все. Я ответил.

anc ★★★★★
(12.06.22 14:44:10 MSK)

←	Portage игнорирует локальный оверлей

Admin

Как редактировать конфиг nextcloud, если он установлен через snap

→

Похожие темы