[FRsAG] Re: selinux (oui je suis en retard de 10 ans) (au moins)

Fri, 12 Jan 2024 06:10:38 -0800 

Salut Jérémy,
Pas de réponse précise sur ton problème, mais la dernière fois que j'ai dû régler des problèmes de SELinux je me suis référé à la doc de RedHat : https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html-single/using_selinux/index. 


J'avais utilisé audit2allow pour générer les règles liées à 
l'application. En gros tu fais tourner ton appli en permissive, ce qui 
permet de loguer les alertes, puis tu analyses les logs avec sealert et 
tu génères des règles avec audit2allow. Et tu vérifies manuellement si 
elles font sens et tu les adaptes. Le procédé est décrit dans cette 
section de la doc : 
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html-single/using_selinux/index#troubleshooting-problems-related-to-selinux_using-selinux


Bon courage,

Léo

On 12/01/2024 02:51, Jeremy Monnet wrote:

Salut les gens,


J'ai une question selinux "un peu" avancée. D'avance je m'excuse parce 
que oui, j'aurais dû investir du temps dans selinux il y a bien 
longtemps (qu'on aime ou pas, je devrais être capable de répondre à ce 
genre de question...)



J'ai lu de la doc, regardé des tuto, je maîtrise selinux pour 
apache... Mon problème c'est une appli métier dans une arborescence 
dédiée. Quand on active selinux en enforcing, elle ne démarre plus.

ls -lZ /application

drwxrwxr-x. 3 user group system_u:object_r:unlabeled_t:s0 40 Jan 11 
17:56 /application/

restorecon -n -v /application/

Would relabel /application from system_u:object_r:unlabeled_t:s0 to 
system_u:object_r:default_t:s0

ps -eZ | grep -i appli
system_u:system_r:initrc_t:s0   11943 ?   00:00:09 appli


Déjà, question bête, est-ce qu'un restorecon (récursif...) suffirait à 
ce que l'appli démarre ? initrc_t vers default_t ?
Ensuite, surtout quelle est la meilleur marche à suivre, je suppose 
qu'il faut a minima ajouter un contexte, genre

semanage fcontext -a -t unconfined_t '/application(/.*)?'


Mais dans ce cas précis si on veut faire du selinux "pour de vrai" 
est-ce qu'il ne faudrait pas ajouter un type dédié genre mon_appli_t ? 
et c'est là où je sèche complètement, que faudrait-il faire en plus 
sur le user, sur le process pour que ça fonctionne bien ?


Merci d'avance pour toute aide :)

Jérémy

_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/

_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/





















					Répondre à