SElinux невключается

0

1

Всем доброго дня, имеется свежеустановленный Debian 11, решил поизучать SElinux, оказалось что в системе «из коробки» селинукс не установлен, нет /etc/selinux а sestatus выдает команда ненайдена, не беда - устанавливаю, сразу после установки sestatus выдаёт:

$ sestatus
SELinux status:                 disabled

в /etc/selinux/config:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
# default - equivalent to the old strict and targeted policies
# mls     - Multi-Level Security (for military and educational use)
# src     - Custom policy built from source
SELINUXTYPE=default

# SETLOCALDEFS= Check local definition changes
SETLOCALDEFS=0

т.е. режим permissive, делаю ребут системы но sestatus по прежнему выдаёт

$ sestatus
SELinux status:                 disabled

а setenforce 0 выдает

~$ sudo setenforce 0
setenforce: SELinux is disabled

Почему селинукс не включается?

←	Как изменить разрешение экрана без GUI

Как выключить тень под окном Firefox не выключая GTK CSD?

→

Потому что кое-кто не прочел документацию:

А вообще Debian-based не очень дружат с SELinux, там AppArmor, который нужно перед стартом SELinux выключить.

Я бы тебе посоветовал изучать SELinux на RHEL-based, например AlmaLinux или Fedora. Базовые упражнения по нему есть вот в этой книге: https://www.sandervanvugt.com/red-hat-rhcsa-8-cert-guide-ex200/ — скачай errata обязательно, есть опечатки (книга есть на торрентах и файлообменниках, но не могу тут ссылки оставлять).

Vsevolod-linuxoid ★★★★★
(01.01.23 17:22:49 MSK)
Последнее исправление: Vsevolod-linuxoid 01.01.23 17:23:16 MSK (всего исправлений: 1)

Ответ на: комментарий от Vsevolod-linuxoid 01.01.23 17:22:49 MSK

Нет там дефолтного apparmor-а.

firkax ★★★★★
(01.01.23 17:27:32 MSK)

Ответ на: комментарий от firkax 01.01.23 17:27:32 MSK

Ты проверяй, прежде чем чушь нести. И в Debian, и в Ubuntu сейчас он есть по умолчанию. Не веришь — поставь сам в виртуалку и убедись.

Vsevolod-linuxoid ★★★★★
(01.01.23 17:28:32 MSK)

Ответ на: комментарий от Vsevolod-linuxoid 01.01.23 17:28:32 MSK

https://wiki.debian.org/AppArmor/HowToUse тут написано что надо устанавливать если хочешь использовать.

firkax ★★★★★
(01.01.23 17:30:07 MSK)

Ответ на: комментарий от firkax 01.01.23 17:30:07 MSK

If you are using Debian 10 «Buster» or newer, AppArmor is enabled by default so you can skip this step.

Сам читать пробовал?

Vsevolod-linuxoid ★★★★★
(01.01.23 17:30:50 MSK)

Ответ на: комментарий от Vsevolod-linuxoid 01.01.23 17:30:50 MSK

Ну ладно, пусть так. Дебианы 10 и новее я и правда не ставил с нуля ни разу.

Зря они это сделали.

firkax ★★★★★
(01.01.23 17:37:01 MSK)
Последнее исправление: firkax 01.01.23 17:37:32 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 01.01.23 17:37:01 MSK

Я уже устал от этого твоего поведения. Не осуждаю твое стремление помогать, сам такой, но ты проверяй опытом что говоришь, раз не в теме. За мной тоже есть примеры 4.2, но всё же я проверяю опытом на виртуалках многое, даже если сам не использую конкретный дистрибутив или ПО.

Vsevolod-linuxoid ★★★★★
(01.01.23 17:41:20 MSK)

Ответ на: комментарий от Vsevolod-linuxoid 01.01.23 17:41:20 MSK

Я что-то других случаев не помню. А тут ну бывает, с нововведениями дебиановского установщика не успел ознакомится.

firkax ★★★★★
(01.01.23 18:00:55 MSK)

Ответ на: комментарий от firkax 01.01.23 18:00:55 MSK

Ничего себе «нововведение» — 10 версия уже oldstable, 12 скоро выйдет. И я просто редко тебя упрекаю, так как чувствую бессилие и усталость поправлять глупцов. Если бы ты один был — почти каждый совет и инструкция по Linux в рунете содержит ТОННУ ошибок. Я всё ищу на английском именно поэтому. Не потому что на русском советов мало, а потому что качество такое, что это скорее дезинформация.

Vsevolod-linuxoid ★★★★★
(01.01.23 18:33:12 MSK)
Последнее исправление: Vsevolod-linuxoid 01.01.23 18:33:41 MSK (всего исправлений: 1)

Ответ на: комментарий от Vsevolod-linuxoid 01.01.23 18:33:12 MSK

почти каждый совет и инструкция по Linux в рунете содержит ТОННУ ошибок. Я всё ищу на английском именно поэтому. Не потому что на русском советов мало, а потому что качество такое, что это скорее дезинформация.

Есть такое дело

tiinn ★★★★★
(02.01.23 17:36:49 MSK)

Ответ на: комментарий от Vsevolod-linuxoid 01.01.23 17:22:49 MSK

А вообще Debian-based не очень дружат с SELinux, там AppArmor, >который нужно перед стартом SELinux выключить

А то есть чтобы включить селинукс надо выключить аппармор? Об этом не догадался, я даже незнал что они конкуренты, буду теперь изучать аппармор пока, только из уже беглого прочтения мануалов по аппармору я так понял что в аппарморе - все что не запрещено - разрешено т.е. если под какую то прогу нет профиля то аппармор её никак ни в чем не ограничит, что не есть гуд при желании защитить систему по максимуму, это получается надо при установке каждого нового ПО еще и самому профиль аппармора делать для новых прог, иначе аппармор от этой проги не обезопасит В селинуксе как я понял не так - в режиме enforcing будет запрещено всё что не разрешено явно, если под какую то прогу нет профиля (только в селинксе не профили) то ей вообще ничего не будет разрешено

barmaley99
(03.01.23 08:11:17 MSK) автор топика

Ответ на: комментарий от barmaley99 03.01.23 08:11:17 MSK

если под какую то прогу нет профиля то аппармор её никак ни в чем не ограничит

Если она запускается процессом, который сам работает в режиме unconfined (и нет профиля для запускаемой программы), то так и есть. Но можно, например, создать профиль для bash, или для графического окружения рабочего стола, и тогда он будет применяться и к запускаемым программам.

В селинуксе как я понял не так - в режиме enforcing будет запрещено всё что не разрешено явно, если под какую то прогу нет профиля (только в селинксе не профили) то ей вообще ничего не будет разрешено

Тоже не совсем – это верно для strict-политик, но существуют также и targeted-политики, в которых все программы, для которых нет политики, работают в unconfined_t, которая практически никак не ограничивает запускаемую программу.

PeachBlossoms
(03.01.23 12:10:52 MSK)
Последнее исправление: PeachBlossoms 03.01.23 12:11:03 MSK (всего исправлений: 1)

Ответ на: комментарий от barmaley99 03.01.23 08:11:17 MSK

А то есть чтобы включить селинукс надо выключить аппармор?

Оба используют LSM-хуки. Бывают LSM-«потребители» двух типов - эксклюзивные и нет. Эксклюзивный потребитель не терпит никаких других потребителей такого же типа, работает только в одиночку.

AppArmor(по крайней мере год назад) был «эксклюзивным». SELinux тоже.

В /sys/kernel/security/lsm должно быть написано, кто у тебя в данный момент активен с т.з. LSM-хуков.

mikhalich ★★
(30.01.23 15:09:02 MSK)
Последнее исправление: mikhalich 30.01.23 15:09:36 MSK (всего исправлений: 1)

←	Как изменить разрешение экрана без GUI

General

Как выключить тень под окном Firefox не выключая GTK CSD?

→

Похожие темы