LINUX.ORG.RU
ФорумGeneral

SElinux невключается

 


0

1

Всем доброго дня, имеется свежеустановленный Debian 11, решил поизучать SElinux, оказалось что в системе «из коробки» селинукс не установлен, нет /etc/selinux а sestatus выдает команда ненайдена, не беда - устанавливаю, сразу после установки sestatus выдаёт: 

$ sestatus
SELinux status:                 disabled

в /etc/selinux/config: 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
# default - equivalent to the old strict and targeted policies
# mls     - Multi-Level Security (for military and educational use)
# src     - Custom policy built from source
SELINUXTYPE=default

# SETLOCALDEFS= Check local definition changes
SETLOCALDEFS=0

т.е. режим permissive, делаю ребут системы но sestatus по прежнему выдаёт 

$ sestatus
SELinux status:                 disabled

а setenforce 0 выдает 

~$ sudo setenforce 0
setenforce: SELinux is disabled
Почему селинукс не включается?

Потому что кое-кто не прочел документацию:

А вообще Debian-based не очень дружат с SELinux, там AppArmor, который нужно перед стартом SELinux выключить.

Я бы тебе посоветовал изучать SELinux на RHEL-based, например AlmaLinux или Fedora. Базовые упражнения по нему есть вот в этой книге: https://www.sandervanvugt.com/red-hat-rhcsa-8-cert-guide-ex200/ — скачай errata обязательно, есть опечатки (книга есть на торрентах и файлообменниках, но не могу тут ссылки оставлять).

Vsevolod-linuxoid ★★★★★
()
Последнее исправление: Vsevolod-linuxoid (всего исправлений: 1)
Ответ на: комментарий от Vsevolod-linuxoid

Ну ладно, пусть так. Дебианы 10 и новее я и правда не ставил с нуля ни разу.

Зря они это сделали.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

Я уже устал от этого твоего поведения. Не осуждаю твое стремление помогать, сам такой, но ты проверяй опытом что говоришь, раз не в теме. За мной тоже есть примеры 4.2, но всё же я проверяю опытом на виртуалках многое, даже если сам не использую конкретный дистрибутив или ПО.

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от firkax

Ничего себе «нововведение» — 10 версия уже oldstable, 12 скоро выйдет. И я просто редко тебя упрекаю, так как чувствую бессилие и усталость поправлять глупцов. Если бы ты один был — почти каждый совет и инструкция по Linux в рунете содержит ТОННУ ошибок. Я всё ищу на английском именно поэтому. Не потому что на русском советов мало, а потому что качество такое, что это скорее дезинформация.

Vsevolod-linuxoid ★★★★★
()
Последнее исправление: Vsevolod-linuxoid (всего исправлений: 1)
Ответ на: комментарий от Vsevolod-linuxoid

почти каждый совет и инструкция по Linux в рунете содержит ТОННУ ошибок. Я всё ищу на английском именно поэтому. Не потому что на русском советов мало, а потому что качество такое, что это скорее дезинформация.

Есть такое дело

tiinn ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

А вообще Debian-based не очень дружат с SELinux, там AppArmor, >который нужно перед стартом SELinux выключить

А то есть чтобы включить селинукс надо выключить аппармор? Об этом не догадался, я даже незнал что они конкуренты, буду теперь изучать аппармор пока, только из уже беглого прочтения мануалов по аппармору я так понял что в аппарморе - все что не запрещено - разрешено т.е. если под какую то прогу нет профиля то аппармор её никак ни в чем не ограничит, что не есть гуд при желании защитить систему по максимуму, это получается надо при установке каждого нового ПО еще и самому профиль аппармора делать для новых прог, иначе аппармор от этой проги не обезопасит В селинуксе как я понял не так - в режиме enforcing будет запрещено всё что не разрешено явно, если под какую то прогу нет профиля (только в селинксе не профили) то ей вообще ничего не будет разрешено

barmaley99
() автор топика
Ответ на: комментарий от barmaley99

если под какую то прогу нет профиля то аппармор её никак ни в чем не ограничит

Если она запускается процессом, который сам работает в режиме unconfined (и нет профиля для запускаемой программы), то так и есть. Но можно, например, создать профиль для bash, или для графического окружения рабочего стола, и тогда он будет применяться и к запускаемым программам.

В селинуксе как я понял не так - в режиме enforcing будет запрещено всё что не разрешено явно, если под какую то прогу нет профиля (только в селинксе не профили) то ей вообще ничего не будет разрешено

Тоже не совсем – это верно для strict-политик, но существуют также и targeted-политики, в которых все программы, для которых нет политики, работают в unconfined_t, которая практически никак не ограничивает запускаемую программу.

PeachBlossoms
()
Последнее исправление: PeachBlossoms (всего исправлений: 1)
Ответ на: комментарий от barmaley99

А то есть чтобы включить селинукс надо выключить аппармор?

Оба используют LSM-хуки. Бывают LSM-«потребители» двух типов - эксклюзивные и нет. Эксклюзивный потребитель не терпит никаких других потребителей такого же типа, работает только в одиночку.

AppArmor(по крайней мере год назад) был «эксклюзивным». SELinux тоже.

В /sys/kernel/security/lsm должно быть написано, кто у тебя в данный момент активен с т.з. LSM-хуков.

mikhalich ★★
()
Последнее исправление: mikhalich (всего исправлений: 1)
General