Захотел я для безопасности ограничить сетевые сервисы (transmission и др.). Чтобы могли писать-читать только в указанных папках. И чтобы они могла коннектиться только в интернет, а в локалку, локалхост не лезли.
Я уже ограничивал программы с помощью chroot и iptables match owner и отдельная группа и отдельный юзером, но решил попробовать apparmor и selinux.
Попробовал apparmor. Правила для файловой системы работают. А при указании настроек для контроля сетевого трафика «deny network» не работает. Пишет что
network rules not enforcedПотом решил поставить selinux. Добавил в загрузочные опции ядра (/boot/grub/grub.cfg)
security=1 selinux=1SElinux status: disabledВ /proc/filesystems имеется securityfs, selinuxfs. Ядро стандартное дебиановское:
CONFIG_SECURITY_SELINUX=y
# CONFIG_SECURITY_SELINUX_BOOTPARAM is not set
# CONFIG_SECURITY_SELINUX_DISABLE is not set
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
# CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set
CONFIG_EXT4_FS=m
CONFIG_EXT4_FS_XATTR=y
CONFIG_EXT4_FS_POSIX_ACL=y
CONFIG_EXT4_FS_SECURITY=y
# CONFIG_EXT4_DEBUG is not set
Из пакетов я поставил лишь:
libselinux-2.2.1.txz
libsemanage-2.2.txz
libsepol-2.2.txz
setools-3.3.8.txz
Вот второй вопрос. Может это из-за того что нужно ещё что-то в initrd добавить ? Может я что-то упустил ?
У меня slackware 13. Initrd у меня тоже дебиановский.
