SELinux User: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 30: Zeile 30:
 
== Bedeutung dieser Fehlermeldung ==
 
== Bedeutung dieser Fehlermeldung ==
  
<ul>
+
* '''ping''' sagt, dass der Socket keine Berechtigung hat
<li><p>'''ping''' sagt, dass der Socket keine Berechtigung hat</p></li>
+
* Den genauen Verstoß kann man mit '''ausearch''' anzeigen und die Behebung mit '''audit2allow''':
<li><p>Den genauen Verstoß kann man mit '''ausearch''' anzeigen und die Behebung mit '''audit2allow''':</p>
+
* ausearch -m AVC -ts recent
<ul>
 
<li>ausearch -m AVC -ts recent</li></ul>
 
 
 
 
 
-----
 
 
 
  time->Tue Nov 29 09:02:06 2022
 
  type=AVC msg=audit(1669708926.962:629): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=icmp_socket permissive=0
 
  ----
 
  time->Tue Nov 29 09:02:06 2022
 
  type=AVC msg=audit(1669708926.962:630): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=rawip_socket permissive=0
 
  ----
 
  time->Tue Nov 29 09:02:06 2022
 
  type=AVC msg=audit(1669708926.962:631): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=icmp_socket permissive=0
 
  ----
 
  time->Tue Nov 29 09:02:06 2022
 
  type=AVC msg=audit(1669708926.962:632): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=rawip_socket permissive=0
 
<ul>
 
<li>ausearch -m AVC -ts recent | audit2allow -R</li></ul>
 
 
 
<p>require { type user_t; class icmp_socket create; class rawip_socket create; }</p>
 
<p>#============= user_t ============== allow user_t self:icmp_socket create; allow user_t self:rawip_socket create;</p></li></ul>
 
  
 +
<!----->
 +
----
 +
time->Tue Nov 29 09:02:06 2022
 +
type=AVC msg=audit(1669708926.962:629): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=icmp_socket permissive=0
 +
----
 +
time->Tue Nov 29 09:02:06 2022
 +
type=AVC msg=audit(1669708926.962:630): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=rawip_socket permissive=0
 +
----
 +
time->Tue Nov 29 09:02:06 2022
 +
type=AVC msg=audit(1669708926.962:631): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=icmp_socket permissive=0
 +
----
 +
time->Tue Nov 29 09:02:06 2022
 +
type=AVC msg=audit(1669708926.962:632): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=rawip_socket permissive=0
 +
 +
+ ausearch -m AVC -ts recent | audit2allow -R
 +
 +
require {
 +
        type user_t;
 +
        class icmp_socket create;
 +
        class rawip_socket create;
 +
}
 +
 +
#============= user_t ==============
 +
allow user_t self:icmp_socket create;
 +
allow user_t self:rawip_socket create;
 
<span id="audit2allow-vorschlag-installieren"></span>
 
<span id="audit2allow-vorschlag-installieren"></span>
 
== '''audit2allow''' Vorschlag installieren ==
 
== '''audit2allow''' Vorschlag installieren ==
  
 
* In diesem Fall ist der Vorschlag von '''audit2allow''' relativ sinnvoll, da der ''icmp_socket'' schon vordefiniert ist.
 
* In diesem Fall ist der Vorschlag von '''audit2allow''' relativ sinnvoll, da der ''icmp_socket'' schon vordefiniert ist.

Version vom 29. November 2022, 08:36 Uhr

SELinux-Kontext des jetzigen Benutzers ausgeben

  • id -Z (Ausgangseinstellung für jeden Benutzer):
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

User xinux dem SELinux User user_u zuordnen und user_ping ausschalten

  • semanage login -a -s user_u xinux
  • id -Z (als xinux):
user_u:user_r:user_t:s0
  • setsebool user_ping 0

Ping für SELinux User user_u per eigenes Modul freischalten

  • xinux
    • ping localhost
    ping: socket: Keine Berechtingung

Bedeutung dieser Fehlermeldung

  • ping sagt, dass der Socket keine Berechtigung hat
  • Den genauen Verstoß kann man mit ausearch anzeigen und die Behebung mit audit2allow:
  • ausearch -m AVC -ts recent
----
time->Tue Nov 29 09:02:06 2022
type=AVC msg=audit(1669708926.962:629): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=icmp_socket permissive=0
----
time->Tue Nov 29 09:02:06 2022
type=AVC msg=audit(1669708926.962:630): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=rawip_socket permissive=0
----
time->Tue Nov 29 09:02:06 2022
type=AVC msg=audit(1669708926.962:631): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=icmp_socket permissive=0
----
time->Tue Nov 29 09:02:06 2022
type=AVC msg=audit(1669708926.962:632): avc:  denied  { create } for  pid=13973 comm="ping" scontext=user_u:user_r:user_t:s0 tcontext=user_u:user_r:user_t:s0 tclass=rawip_socket permissive=0

+ ausearch -m AVC -ts recent | audit2allow -R

require {
        type user_t;
        class icmp_socket create;
        class rawip_socket create;
}

#============= user_t ==============
allow user_t self:icmp_socket create;
allow user_t self:rawip_socket create;

audit2allow Vorschlag installieren

  • In diesem Fall ist der Vorschlag von audit2allow relativ sinnvoll, da der icmp_socket schon vordefiniert ist.
Abgerufen von „http://wiki.ixheim.de/index.php?title=SELinux_User&oldid=38615