Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Hej,
Postawilem Centos 7.1. Skompilowalem jajko z grsec, zaznaczyalem opcje SeLinux w configu, ale
[root@proton ~]# getenforce Disabled [root@proton ~]# setenforce 1 setenforce: SELinux is disabled
[root@proton ~]# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
[root@proton ~]# uname -a Linux proton.edu.pl 4.1.6-grsec-xxxx-std-ipv6-64-hz1000 #1 SMP Wed Sep 2 11:51:23 CEST 2015 x86_64 x86_64 x86_64 GNU/Linux
[url=https://imageshack.com/i/ip4MioSPj][img]http://imagizer.imageshack.us/v2/xq90/673/4MioSP.jpg[/img][/url]
Tego tez nie rozumiem
[root@proton linux]# cat .config | grep SELinux [root@proton linux]# cat .config | grep Linux # Linux/x86 4.1.6 Kernel Configuration [root@proton linux]# cat .config | grep NSA [root@proton linux]#
Ktos wie jak to pogodzic.
Pzdr,
Offline
2180
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:02)
Offline
[root@proton linux]# cat .config | grep -i selinux CONFIG_SECURITY_SELINUX=y CONFIG_SECURITY_SELINUX_BOOTPARAM=y CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1 # CONFIG_SECURITY_SELINUX_DISABLE is not set CONFIG_SECURITY_SELINUX_DEVELOP=y CONFIG_SECURITY_SELINUX_AVC_STATS=y CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1 CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX=y CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX_VALUE=19 # CONFIG_DEFAULT_SECURITY_SELINUX is not set
Niby wszystko jest, ale nie ma.
Offline
2181
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:23:03)
Offline
Kod:
# CONFIG_DEFAULT_SECURITY_SELINUX is not set[/quote]
Pokaż wynik:Kod:
cat /proc/cmdline
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
cat /proc/cmdline BOOT_IMAGE=/boot/vmlinuz-4.1.6-grsec-xxxx-std-ipv6-64-hz1000 root=/dev/sda1 ro net.ifnames=0 LANG=en_US.UTF-8
Jakbym pogodzil grsec i selinuxa to juz bym byl chyba w 7 niebie !
Ostatnio edytowany przez bryn1u (2015-09-02 17:48:45)
Offline
Dodaj do cmdline:
security=selinux selinux=1
Powinno radykalnie pomóc.
PS.
W 7 niebie to będziesz, jak się SELinux nie skicha z powodu Grsec/Paxa,
a system ruszy na PAX_MPROTECT.
Ostatnio edytowany przez Jacekalex (2015-09-02 18:34:34)
Offline
i juz nie wstal :(
Offline
To samo, co w Debianie Squeeze, włączenie SELinuxa, dwukrotne markowanie wszystkich plików, reboot, i czarna konsola, bo SELinux w trybie targeted ubił proces /sbin/init, na dystrybucyjnym jaju bez Grseca.
Ale zdawało mi się, że CentOS ma Selinuxa włączonego i skonfigurowanego domyślnie. :D
To teraz zabawa z logami AVC i czary z debugerem, jak SELinux czegoś nie zaloguje.
Jak dotąd, Grsec, Pax i Selinux udało mi się ożenić tylko na Gentusiu,
a było z tym ze 2 tygodnie gimnastyki za pierwszym razem. ;P
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2015-09-03 03:09:29)
Offline
selinux z PAX może działać
selinux z grsecurity zajmują się tym samym, a więc kolidują ze sobą.
Offline
selinux z grsecurity zajmują się tym samym, a więc kolidują ze sobą.[/quote]
Niezupełnie tym samym, Grsecurity to kilka różnych technik, w których RBAC (ACL) to jeden z modułów używanych opcjonalnie.
Selinux to praktycznie wyłącznie ACL, chociaż rozbudowany do granic korpoabsurdu.
Jak pierwszy raz zobaczyłem oznaczanie pakietów sieciowych przez firewall w tablicy SECURITY, żeby miały prawidłowe konteksty selinuxa,
to myślałem, że ktoś spadł na głowę z diabelnie wysokiego budynku.
RBAC w Grsec po prostu pozwala albo nie pozwala wisieć demonowi na określonym porcie, i gotowe.
W standardowym Linuxie jest od tego mechanizm CAPABILITIES albo Cgroup.
System, który nie wstaje po włączeniu selinuxa przez cmdline, na 99,9 % ma problem z jakąś binarką, która się pogryzła wlaśnie z paxem, albo zablokowany dostęp do /dev/mem, /dev/kmem lub /dev/port, albo jakaś z innych technik może bruździć, np HARDEN_IPC
W każdym razie, póki nie włączysz w Grsecu RBAC, to nie powinno być kłopotu z Selinuxe.
[b]@bryn1u[/b]
Odpal SELinuxa w trybie Permisive, i dopiero po starcie włącz przez setenforce, a potem zobacz w logach Grsec i Selinuxa, co się dokładnie dzieje.Ostatnio edytowany przez Jacekalex (2015-09-04 18:28:25)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00015 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00115 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.94.77' WHERE u.id=1 |
0.00062 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.117.94.77', 1732461510) |
0.00047 | SELECT * FROM punbb_online WHERE logged<1732461210 |
0.00062 | SELECT topic_id FROM punbb_posts WHERE id=290257 |
0.00007 | SELECT id FROM punbb_posts WHERE topic_id=27683 ORDER BY posted |
0.00083 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27683 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00164 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27683 ORDER BY p.id LIMIT 0,25 |
0.00083 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27683 |
Total query time: 0.00648 s |