https://wiki.ixheim.de/index.php?action=history&feed=atom&title=SELinux_%E2%80%93_Samba_Share_korrekt_labeln
SELinux – Samba Share korrekt labeln - Versionsgeschichte
2026-06-29T11:25:58Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=SELinux_%E2%80%93_Samba_Share_korrekt_labeln&diff=66917&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „= SELinux – Samba Share korrekt labeln = == Ziel == * Ein Samba-Share außerhalb von /var korrekt für SELinux freigeben * Beispielpfad: /srv/samba/share *…“
2026-02-17T06:32:40Z
<p>Die Seite wurde neu angelegt: „= SELinux – Samba Share korrekt labeln = == Ziel == * Ein Samba-Share außerhalb von /var korrekt für SELinux freigeben * Beispielpfad: /srv/samba/share *…“</p>
<p><b>Neue Seite</b></p><div>= SELinux – Samba Share korrekt labeln =<br />
<br />
== Ziel ==<br />
* Ein Samba-Share außerhalb von /var korrekt für SELinux freigeben<br />
* Beispielpfad: /srv/samba/share<br />
* Ohne korrektes Label blockiert SELinux den Zugriff – auch wenn Unix-Rechte stimmen<br />
<br />
== Problem ==<br />
* Samba läuft im SELinux-Kontext smbd_t<br />
* smbd_t darf nur auf bestimmte Typen zugreifen<br />
* Ein neues Verzeichnis unter /srv bekommt meist default_t<br />
* Zugriff wird dann von SELinux verweigert (AVC Denial)<br />
<br />
== Lösung – Kontext dauerhaft definieren ==<br />
<br />
== Kontext-Regel anlegen ==<br />
*semanage fcontext -a -t samba_share_t "/srv/samba(/.*)?"<br />
<br />
* Fügt eine persistente Regel in die SELinux-Datenbank ein<br />
* -a → hinzufügen<br />
* -t samba_share_t → erlaubt Samba-Zugriff<br />
* "/srv/samba(/.*)?" → Verzeichnis inkl. aller Unterverzeichnisse und Dateien<br />
* Ändert noch keine bestehenden Labels, sondern nur die Regelbasis<br />
<br />
== Labels anwenden ==<br />
*restorecon -Rv /srv/samba<br />
<br />
* Setzt die SELinux-Labels anhand der gespeicherten Regel neu<br />
* -R → rekursiv<br />
* -v → zeigt Änderungen<br />
* Jetzt erhalten alle Dateien unter /srv/samba den Typ samba_share_t<br />
<br />
== Kontrolle ==<br />
*ls -ldZ /srv/samba<br />
<br />
* Erwartete Ausgabe enthält:<br />
object_r:samba_share_t:s0<br />
* Steht dort default_t oder var_t → Zugriff wird blockiert<br />
<br />
== Technischer Hintergrund ==<br />
* SELinux nutzt Type Enforcement<br />
* smbd läuft im Kontext smbd_t<br />
* smbd_t darf auf Objekte vom Typ samba_share_t zugreifen<br />
* Falscher Typ führt zu AVC Denials in:<br />
/var/log/audit/audit.log<br />
<br />
== Typische Fehlannahme ==<br />
* chmod oder chown alleine reichen nicht<br />
* Bei aktiviertem SELinux entscheidet das Label, nicht nur die Dateirechte<br />
<br />
== Optional – Diagnose bei Problemen ==<br />
*ausearch -m avc -ts recent<br />
*audit2why < /var/log/audit/audit.log<br />
*audit2allow -w -a<br />
<br />
== Fazit ==<br />
* Neue Samba-Verzeichnisse außerhalb von Standardpfaden müssen gelabelt werden<br />
* semanage definiert die Regel<br />
* restorecon setzt sie technisch um<br />
* Kontrolle immer mit ls -Z durchführen</div>
Thomas.will