LINUX.ORG.RU
ФорумAdmin

SElinux - проблема с ssh login после ребута

 ,


1

1

На Ubuntu 20.04 установил selinux и соответствующие пакеты

# apt install policycoreutils selinux-utils selinux-basics auditd audispd-plugins 

Потом выполнил следующие команды

# selinux-activate
# selinux-config-enforcing

и ребутнул сервер. Теперь не могу зайти на сервер - приглашение логин появляется а password нет. Указал в GRUB selinux=0 и залогинился по ssh. Достаточно ли теперь выполнить

# semanage port -a -t ssh_port_t -p tcp 22

для успешного последующего входа по ssh при уже работающем SElinux?

Начни лучше с режима permissive.
А потом посмотришь что не так и будешь исправлять.
А уж как всё настроишь, то можно и enforcing включать.

imul ★★★★★
()
Ответ на: комментарий от zorinquen

Сможешь, но фактически selinux в этом режиме ничего не делает, только в логи аудита пишет что может пойти не так.

imul ★★★★★
()

На Ubuntu 20.04 установил selinux

Само по себе нехорошая идея. Тем, что на Ubuntu.

Файлы в / после такой установки имеют какой-либо контекст безопасности?

i586 ★★★★★
()
Последнее исправление: i586 (всего исправлений: 1)
Ответ на: комментарий от i586

Похоже, что имеют контекст безопасности

# ls -lZ /
total 4194372
lrwxrwxrwx.   1 root root system_u:object_r:bin_t:s0                    7 Feb 23 08:49 bin -> usr/bin
drwxr-xr-x.   5 root root system_u:object_r:boot_t:s0                4096 Jun  9 06:15 boot
drwxr-xr-x   19 root root ?                                          4000 Jun  8 16:40 dev
drwxr-xr-x. 115 root root system_u:object_r:etc_t:s0                 4096 Jun  9 06:15 etc
drwxr-xr-x.   3 root root system_u:object_r:home_root_t:s0           4096 Jun  5 13:33 home
lrwxrwxrwx.   1 root root system_u:object_r:lib_t:s0                    7 Feb 23 08:49 lib -> usr/lib
lrwxrwxrwx.   1 root root system_u:object_r:lib_t:s0                    9 Feb 23 08:49 lib32 -> usr/lib32
lrwxrwxrwx.   1 root root system_u:object_r:lib_t:s0                    9 Feb 23 08:49 lib64 -> usr/lib64
lrwxrwxrwx.   1 root root system_u:object_r:lib_t:s0                   10 Feb 23 08:49 libx32 -> usr/libx32
drwx------.   2 root root system_u:object_r:lost_found_t:s0         16384 Jun  5 13:03 lost+found
drwxr-xr-x.   2 root root system_u:object_r:mnt_t:s0                 4096 Feb 23 08:50 media
drwxr-xr-x.   3 root root system_u:object_r:mnt_t:s0                 4096 Jun  6 13:16 mnt
drwxr-xr-x.   2 root root system_u:object_r:usr_t:s0                 4096 Feb 23 08:50 opt
dr-xr-xr-x  209 root root ?                                             0 Jun  8 16:40 proc
drwx------.   9 root root system_u:object_r:user_home_dir_t:s0       4096 Jun  8 16:52 root
drwxr-xr-x   31 root root ?                                           960 Jun  9 08:45 run
lrwxrwxrwx.   1 root root system_u:object_r:bin_t:s0                    8 Feb 23 08:49 sbin -> usr/sbin
drwxr-xr-x.   6 root root system_u:object_r:default_t:s0             4096 Feb 23 08:57 snap
drwxr-xr-x.   2 root root system_u:object_r:var_t:s0                 4096 Feb 23 08:50 srv
-rw-------.   1 root root system_u:object_r:default_t:s0       4294967296 Jun  5 13:04 swap.img
dr-xr-xr-x   13 root root ?                                             0 Jun  8 16:40 sys
drwxrwxrwt.  14 root root system_u:object_r:tmp_t:s0                 4096 Jun  9 08:39 tmp
drwxr-xr-x.  14 root root system_u:object_r:usr_t:s0                 4096 Feb 23 08:53 usr
drwxr-xr-x.  14 root root system_u:object_r:var_t:s0                 4096 Jun  5 15:55 var
zorinquen
() автор топика
Ответ на: комментарий от zorinquen

После выполнения следуюших команд

# audit2allow -w -a
# audit2allow -a
# audit2allow -a -M mycertwatch
# semodule -i mycertwatch.pp

и явного включения enforcing mode в /etc/selinux/config с последующим ребутом, система теперь нормально работает с возможностью удаленного SSH логина при

#sestatus
SELinux status:                 enabled                                                                                                                       
SELinuxfs mount:                /sys/fs/selinux                                                                                                               
SELinux root directory:         /etc/selinux                                                                                                                  
Loaded policy name:             default                                                                                                                       
Current mode:                   enforcing                                                                                                                     
Mode from config file:          enforcing                                                                                                                     
Policy MLS status:              enabled                                                                                                                       
Policy deny_unknown status:     allowed                                                                                                                       
Memory protection checking:     requested (insecure)                                                                                                          
Max kernel policy version:      31 

zorinquen
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.