Чтобы добавлять сообщения и комментарии, .

@Strephil:
Strephil

Как выключить SELinux? Можно ли сделать это без перезагрузки?

@mrtron:
mrtron

а есть какие-либо люди, которые на рабочих серверах не выключают селинукс?

@wasd:
wasd

[root@blackbox ~]$ newrole -r vanga_r

@Equidamoid:
Equidamoid

Он такая прелесть! У меня сейчас 2 рутовых консольки, в одной на /etc/init.d/$script restart переспрашивает рутовый пароль, а в другой портеж падает с ошибкой из-за нехватки прав =)

@Equidamoid:
Equidamoid

А вот не логинит он меня, как юзера. И рута моего тоже не признаёт.
Похоже, он меня считает хипстером за то, что вместо мейнстримового kdm/gdm у меня хитрый инитскрипт, запускающий сессию моего пользователя.

@Equidamoid:
Equidamoid

Похоже, установка selinux на ноут прошла успешно. Посмотрим, чем это обернётся.
Прошлое моё взаимодействие с ним было в федоре-5(емнип), и закончилось чем-то вроде "ааааа, так вот, что это за (обсценное) мешалась! И вот, как её можно (обсценное)!"

@freefd:
freefd

*NIS
Не иллюзорные кирпичи выросли подо мной, когда одна из машин для внутренних сервисов отказалась принимать авторизацию через NIS. Дело в том, что вся авторизация по ssh у нас организована в виде sshd вкупе с патчем AuthorizedKeysCommand + NIS + nscd.

NIS "доставляет" на сервер passwd, group и, ненужный в нашем случае, shadow, nscd их кеширует. В свою очередь, sshd забирает публичный ключ пользователя не из .ssh/authorized_keys2, а из вывода исполняемого файла директивы AuthorizedKeysCommand. В качестве такого файла выступает скрипт getkeys.sh следующего содержания:

#!/bin/bash
USER=$1
curl --connect-timeout 2 --cacert /etc/pki/tls/certs/company.domain "https://nis.company.domain/getkey/$USER/`hostname -s`/0.4.3/`uname`/`uname -m`/`cat /etc/issue | head -1 | sed -e 's/ /%20/g'`"

Как видно, ключ запрашивается с кластера nis.company.domain по , используя клиентский сертификат и REST. Со стороны кластера присутствует простейший интерфейс управления разрешениями пользователей (их public ssh keys) относительно групп серверов. Парольная авторизация пользователей по ssh отключена, исключительно ключи.

Казалось, бы, причем здесь SELinux?

[root@blg-intsvcs ~]# grep abled /etc/sysconfig/selinux
SELINUX=disabled
[root@blg-intsvcs ~]# ls -la /usr/bin/getent
-rwxr-xr-x 1 root root 27776 Дек 6 19:42 /usr/bin/getent
[root@blg-intsvcs ~]# ls -la /usr/bin/getkeys.sh
-rwxr-xr-x. 1 root root 368 Ноя 25 20:17 /usr/bin/getkeys.sh

Обратите внимание на отличие в "." после x. Данный аспект достаточно не очевиден и порой даже незаметен в листинге. Точка означаете применение к данному файлу SELinux ACL, в логах sshd появляется:

Jan 20 03:37:44 blg-intsvcs sshd[15631]: error: bad ownership or modes for AuthorizedKeysCommand path component ""

Исправляется данное недоразумение простым

setfattr -h -x security.selinux /usr/bin/getkeys.sh

После чего

[root@blg-intsvcs ~]# ls -la /usr/bin/getkeys.sh
-rwxr-xr-x 1 root root 368 Ноя 25 20:17 /usr/bin/getkeys.sh

К чему я это всё? Для любой, даже отлично продуманной экосистемы, найдётся сущность, которая создаст аварийную ситуацию в этой системе. Недооценивайте чужую глупость и роботов.

Единственное, что меня интересует — на этой машине SELinux отключен, КАК на этом файле появились дополнительные ACL?

@wasd:
wasd

ЕМЕРГЕ ФЕЙЛИТ
* Inserting the following modules into the strict module store: virt
libsepol.permission_copy_callback: Module virt depends on permission audit_access in class dir, not satisfied (No such file or directory).
libsemanage.semanage_link_sandbox: Link packages failed (No such file or directory).
semodule: Failed!
* ERROR: sec-policy/selinux-virt-2.20110726 failed (postinst phase):
* Failed to load in modules virt in the strict policy store

чят, что мне нажать чтобы такого не было?
Module virt depends on permission audit_access in class dir, not satisfied (No such file or directory).
Гуглинг выдаёт какую-ту анрилейтед хрень

@datacompboy:
datacompboy

Те, кто в системах с изначально настроенным SELinux отрубают его напоровшись на первую же проблему — удоды. Птицы такие.

@datacompboy:
datacompboy

[root@db01 ~]# chcon -v --type=root:object_r:mysqld_db_t /var/lib/mysql/
chcon: couldn't compute security context from system_u:object_r:file_t
что ему надо-то?! ну я знаю что там system_u:object_r:file_t. А надо root:object_r:mysqld_db_t.
Ну что ему надо?!

@wasd:
wasd

May 14 01:24:22 kwasd sshd[25427]: SSH: Server;Ltype: Version;Remote: 127.0.0.1-35285;Protocol: 2.0;Client: OpenSSH_5.8p1-hpn13v10
May 14 01:24:24 kwasd sshd[25427]: Accepted keyboard-interactive/pam for kwasd.ru from 127.0.0.1 port 35285 ssh2
May 14 01:24:24 kwasd sshd[25427]: pam_unix(sshd:session): session opened for user kwasd.ru by (uid=0)
May 14 01:24:24 kwasd sshd[25432]: error: ssh_selinux_getctxbyname: Failed to get default SELinux security context for kwasd.ru
May 14 01:24:24 kwasd sshd[25432]: error: ssh_selinux_setup_exec_context: Failed to set SELinux execution context for kwasd.ru
May 14 01:24:24 kwasd sshd[25427]: pam_unix(sshd:session): session closed for user kwasd.ru

няши, куда мне нажимать чтобы разрешить ему входить через ssh? гуглинг дал только убунтоводов, отключивших в итоге селинукс и какой-то баг в опенссш, который вылечился патчем и обновлением. но у меня явно чота где-то не разрешено.

@wasd:
wasd

kwasd ~ # whoami
root
kwasd ~ # /etc/init.d/mpd restart
Authenticating root.
Password:

блеа, потсоны, это из-за селинукса няшнота такая или чо? :3

@wasd:
wasd

поебавшись с пересборкой ядра, я приступил к пересборке мира. через ~час у меня будет селинуксовая гента. а через месяц я ее еще и настрою. как раз не лень будет.

@datacompboy:
datacompboy

А теги сочитаются?

@demiazz:
demiazz

Все еще помнят маты на вистовский и семерочный механизм безопасности, за его привычку десятки раз спрашивать всякую хрень. Так вот. Меня за второй день выбесил SELinux пустыми предупреждениями больше, чем знакомство с вистой и семеркой за два года >_<

@skobkin-ru:
skobkin-ru

Если апач в CentOS (RHEL или другой системе с SELinux) отказывается видеть DocumentRoot, а тот существует и права нужные есть — значит надо сделать:
setsebool -P httpd_enable_homedirs 1Затем на директорию, которая нужна апачу применить флаг:
chcon -R -t httpd_sys_content_t /home/user/public_html

@pakan:
pakan

Авторизация ssh с помощью ключей загадочно не работала на свежей fedora 14

В логах выдавало:

SELinux is preventing /usr/sbin/sshd "read" access to authorized_keys. For complete SELinux messages. run sealert -l 840bb74b-93c0-4b1b-819e-a08e6ba3ee52

вылечилось через:
#/sbin/restorecon -R root.ssh

лечение нашлось после того как ввел:
#sealert -l 840bb74b-93c0-4b1b-819e-a08e6ba3ee52

там Fix command содержал магическую команду

@Equidamoid:
Equidamoid

чего-то захотелось поставить один из первых 2 тегов в систему. чисто на посмотреть-покрутить. которое из них посоветуете?

@QoSyS:
QoSyS

Fcukit! Так и знал, что что-то мешало... (thx @dandr)