SeLinux
wwwowaa 12 марта, 2008 - 09:05
Люди добрые, подскажите пожалуйста как конвертировать Gentoo в SeLinux? Только огромная просьба не отсылать на англоязычные ресурсы (хотя если ничего больше нет, то сойдет) и самое главное - не надо ссылок на те статьи где описывается Fedora, Debian и т.д. Таких руководств хватает, но это все не то.
»
- Для комментирования войдите или зарегистрируйтесь
в двух словах
в двух словах
после чего задавайте конкртеные вопросы
Выполняю
Выполняю команду sestatus - говорит, что SeLinux выключена.
SeLinux довольно
SeLinux довольно сложная штука и без чтения документации тут не обойтись.
Стоит почитать просто про Hardened системы к которым отнисится селинукс.
вот хорошее место для начала:
http://www.gentoo.org/proj/en/hardened/index.xml
Все это конечно
Все это конечно здорово но нет ли перевода этой статьи и хотелось бы еще полезных ссылок
нету. ссылки в
нету. ссылки в документе итселф. Вот к примеру какая ссылка там есть - хандбук SELinux
http://www.gentoo.org/proj/en/hardened/selinux/selinux-handbook.xml
_______________________
From Siberia with Love!
Я недавно
Я недавно задавлся этим вопросом чисто в академических целях - пытался полноценно завести selinux в gentoo-hardened с политикой strict и в общем плюнул - не смог докрутить даже дефолтовую политику. если что обращайся - подскажу что смогу.
З.Ы. Ктонибудь hardened-selinux-2007 успешно юзает?
Чпокъ
Звучит многообещающе(-;Е
Пожалуйста, не описывайте своё железо в подписи
А литературой
А литературой какой пользовался, или все сам?
А литературы
А литературы как таковой нету.
1) Берешь stage3-2007 который hardened-multilib (профиль selinux тоже multilib)
2) все как обычно подготавливаешь стейдж для сборки, чрутишся
3) emerge -pvuND system, далее выбираешь профиль selinux/2007.0/amd64/hardened, опять emerge -pvuND system
4) собираешь hardened-sources с selinux и можешь сюдаже pax и grsecurity без аналогичного функционала selinux, не забываешь в fstab security на точку /selinux
5) грузишся, ставишь метки безопасности на файловую систему
6) mount --bind / /mnt/root, ставишь метки в /mnt/root/dev на null console tty* sda* hda* чегото еще, не помню смотри dmesg, вроде proc selinux и может sys еще надо перемаркировать.
7) отмонтируешь и перезагружаешся - смотришь avc denided гораздо меньше. так и не смог победить проблему с modprobe и modprobe.sh, за tmpfs даже не взялся... не говоря уже про сервисы из тертьего runlevel'а; точнее победить можноо - разрешив все тупо бездумно но тогда зачем selinux:)
8) думаешь дальше и понимаешь что даже если нараз решишь все проблемы и заведешь софт то никогда не знаешь что тебя жедт после очередного апдейта через пол года... вот и забросил это дело до лучших времен. На текущий момент например не работает openssh последний с selinux в gentoo а это извините, все старания может перечеркнуть какаянить бага со временем и не видно никаких телодвижений в этом проекте. Возможно и возня со strict политикой неоправданана но тогда зачем вообще к gentoo прикручивать selinux - второй centos или fedora тоже ведь бессмысленно.
По поводу док - читаешь hardened-handbook и http://oss.tresys.com/projects/refpolicy/wiki
имхо
проще начать с Hardened + RSBAC, установить rsbac-sources и включить одну, две политики и пробовать использовать какие либо демоны. Очень хорошая статья есть на русском, ссылку не упомню, автор Станислав Иевлев, один из разработчиков RSBAC