Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 03-02-2015 21:29:19

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Mise en route SELinux

Bonsoir
je voudrai installer selinux , il y a pas mal de doc et en fr , sur le net , ici la recherche n a rien donnée.
en configuration de base il n y a pas grand chose a faire , il est possible de pousser plus loin la sécurité.
Ma question , quelqu un a t il activé selinux sur sa machine et a un retour d experience ?
si j ouvre un sujet je pense que ça place sera dans reseau (sécurité)

@++

http://debian-handbook.info/browse/fr-F … linux.html

Dernière modification par robert2a (03-02-2015 21:30:08)

Hors ligne

#2 03-02-2015 21:48:45

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Mise en route SELinux

Bonsoir,

Je n'ai pas d'expérience mais, dans ton cas, je partirais de http://debian-handbook.info/browse/fr-F … linux.html
en vue de suivre les 3 liens "pour aller plus loin".  smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#3 05-02-2015 05:38:50

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Mise en route SELinux

apres des recherches Apparmor est plus avancé sous debian , Jessie a déja tous les paquets disponibles , et l installation est identique a SELinux et la configuration plus simple d'apres les utilisateurs.
petit bémol la doc est moins fourni et plutot en anglais.
Les regles sont plutot pour PC client que serveur.
comme regles firefox , bind9 , ntp et quelques autres. (on peut en créer comme pour SELinux ..... )

ps: j ai testé Apparmor sur la passerelle , installation assez simple , j ai perdu le net donc retiré rapidement.
pour un client je pense que c est une bonne idée , les regles doivent etre plus optimisé.
je me suis apperçu du soucis par la perte de ntp serveur , plus de possibilite de surfer avec un client .
reprendre l ensemble des regles doit regler ce probleme hmm tongue

Dernière modification par robert2a (05-02-2015 07:41:38)

Hors ligne

#4 05-02-2015 18:39:12

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Mise en route SELinux

ça sent un chouette tuto en perspective.  big_smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#5 06-02-2015 10:13:41

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Mise en route SELinux

non pas pour l instant j ai remplacé le disque dur de la passerelle hier , une journée pour refaire l installation (38go par un 1000go ).
exim4 serveur , dhcp , dns , forward eth0 eth1 , ssh etc....  et surtout installation sans bureau (un serveur quoi cool )

si je teste ce sera sur un client pour pouvoir le buggé sans soucis tongue

Hors ligne

#6 06-02-2015 10:26:25

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Mise en route SELinux

Pôv client... wink

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#7 29-06-2015 17:00:43

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Mise en route SELinux

Bon j'ai repris un peu selinux sur une machine connecté a une box-machin avec un pare-feu basic sur etho de cette machine.

pour installé selinux j ai utilisé synaptic avec une recherche "selinux"

selinux-basics
selinux-utils
setools

rien a voir avec la doc des cahiers de l admin avec comme commande:


aptitude install selinux-basics selinux-policy-default
 



il me manque toujours selinux-policy-default , l installation des 3 paquets ci dessus installent pas mal de dépendances (python-selinux et autres )

pour activer selinux j'ai modifié la ligne dans /etc/default/grub


GRUB_CMDLINE_LINUX="selinux=1 audit=1"
 


puis


update-grub
 



voila le resultat  lol


 fixfiles relabel
 


retour de la commande


    Files in the /tmp directory may be labeled incorrectly, this command
    can remove all files in /tmp.  If you choose to remove files from /tmp,
    a reboot will be required after completion.

    Do you wish to clean out the /tmp directory [N]? y
Cleaning out /tmp
genhomedircon: SELinux policy is not managed or store cannot be accessed.
fixfiles: No suitable file systems found
Cleaning up labels on /tmp
cat: /initial_contexts/unlabeled: Aucun fichier ou dossier de ce type
secon: SELinux is not enabled
 



l'audit fonctionne , j ai des logs dans syslog mais selinux n est pas actif tongue

une alternative avec la commande "selinux-activate"


selinux-activate
 


retour de la commande


Activating SE Linux
Création du fichier de configuration GRUB…
Found background image: /usr/share/images/desktop-base/desktop-grub.png
Image Linux trouvée : /boot/vmlinuz-3.16.0-4-amd64
Image mémoire initiale trouvée : /boot/initrd.img-3.16.0-4-amd64
Image Linux trouvée : /boot/vmlinuz-3.14-2-amd64
Image mémoire initiale trouvée : /boot/initrd.img-3.14-2-amd64
fait
SE Linux is activated.  You may need to reboot now.
 


je reboot @++ wink

voici le fichier grub correct (généré par la commande ci dessus )


GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="quiet"
GRUB_CMDLINE_LINUX=" audit=1 selinux=1 security=selinux"
 



au reboot , plantage puis redemarrage du systeme automatique (je n ai rien fait a par me logger )

je pense qu il manque le paquet de regles (le probleme est pas réglé) , selinux est plutot utilisé sur fedora , je suis pas trop partant pour prendre un fichier chez selinux ou fedora.
donc mise a part m en créer un comme un grand cool je vois pas trop de solutions.

c'est quand meme triste de mettre des paquets avec une dépendance manquante , mais je dois surement pas cerner le probleme tongue wink

pour aujourd'hui je laisse en suspend , trop chaud devant le pc hmm

ps: dans mon syslog


Kernel command line: BOOT_IMAGE=/boot/vmlinuz-3.16.0-4-amd64 root=UUID=b363147a-d53e-4b61-92a7-1ed8bb821441 ro audit=1 selinux=1 security=selinux quiet
 


commande


 semodule -l
 


retour commande


semodule: SELinux policy is not managed or store cannot be accessed.
root@debian40:/home/robert# sestatus
SELinux status:                 disabled
 


commande


 grep ^SELINUXTYPE /etc/selinux/config
 


retour commande


SELINUXTYPE=default
 


commande


 ls /usr/share/selinux-basics/tests
 


retour commande


00_selinuxenabled.py       10_test_kernel_processes.py   22_postfix.py
00_selinuxenabled.pyc      10_test_kernel_processes.pyc  22_postfix.pyc
01_verify_init.py      20_old-style-ttys.py    24_fsckfix.py
01_verify_init.pyc       20_old-style-ttys.pyc     24_fsckfix.pyc
02_verify_slash_selinux.py   21_pam.py         25_udev_relabel.py
02_verify_slash_selinux.pyc  21_pam.pyc        25_udev_relabel.pyc
 


le dossier "tests" est peut etre un debut de regle "selinux-policy"
d'apres la doc ce serait des fichiers.pp que l on charge par : semodule -i fichiers.pp (il est constitué de 3 fichiers .if , .fc et .te dont on fait un make tongue  )

pour l instant tout ça c est du petit chinois neutral

Dernière modification par robert2a (29-06-2015 18:31:02)

Hors ligne

#8 29-06-2015 18:14:56

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Mise en route SELinux

ils m ont entendu pleurer dans mon coin tongue wink cool

https://packages.debian.org/sid/admin/s … cy-default

commande


 fixfiles relabel
 


retour de la commande


    Files in the /tmp directory may be labeled incorrectly, this command
    can remove all files in /tmp.  If you choose to remove files from /tmp,
    a reboot will be required after completion.

    Do you wish to clean out the /tmp directory [N]? y
Cleaning out /tmp
Warning: Skipping the following R/O filesystems:
/sys/fs/cgroup
Warning: Skipping the following R/O filesystems:
/sys/fs/cgroup
Relabeling / /dev /dev/hugepages /dev/mqueue /dev/pts /dev/shm /run /run/lock /run/user/1000 /sys
50.7%
Cleaning up labels on /tmp
find: prédicat inconnu « -context »
find: prédicat inconnu « -context »
find: prédicat inconnu « -context »
find: prédicat inconnu « -context »
 



voila un bon début , il reste plus qu a personnaliser , exemple au logging mon user a un contexte invalide mais je me log quand meme (mode permissive )

Dernière modification par robert2a (29-06-2015 18:34:46)

Hors ligne

#9 29-06-2015 19:04:43

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Mise en route SELinux

apres reboot mon contexte user est correct , je vous met quelques exemples de messages "syslog" sur avc ou il faut intervenir (bloquer ou autoriser) vous remarquerer "permissive=1" a la fin de la ligne (si selinux etait en mode strict ce serait refusée )



kernel: [   86.490888] audit: type=1400 audit(1435596934.410:204): avc:  denied  { read } for  pid=516 comm="dbus-daemon" path="/home/robert/.local/share/icc/edid-0e85c3b009e70b888960b7cddcdc1d73.icc" dev="sda1" ino=8388943 scontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:user_home_t:s0 tclass=file permissive=1

 kernel: [   86.584100] audit: type=1400 audit(1435596934.502:205): avc:  denied  { read } for  pid=515 comm="NetworkManager" name="1000" dev="tmpfs" ino=17475 scontext=system_u:system_r:NetworkManager_t:s0 tcontext=system_u:object_r:systemd_logind_var_run_t:s0 tclass=file permissive=1

kernel: [   86.584131] audit: type=1400 audit(1435596934.502:205): avc:  denied  { open } for  pid=515 comm="NetworkManager" path="/run/systemd/users/1000" dev="tmpfs" ino=17475 scontext=system_u:system_r:NetworkManager_t:s0 tcontext=system_u:object_r:systemd_logind_var_run_t:s0 tclass=file permissive=1


kernel: [   86.584464] audit: type=1400 audit(1435596934.506:206): avc:  denied  { getattr } for  pid=515 comm="NetworkManager" path="/run/systemd/users/1000" dev="tmpfs" ino=17475 scontext=system_u:system_r:NetworkManager_t:s0 tcontext=system_u:object_r:systemd_logind_var_run_t:s0 tclass=file permissive=1
 




PS: petite remarque , le dossier /selinux-basics  est specifique a debian , le dossier de regle est bien dans /selinux (/usr/share/selinux/default )

Dernière modification par robert2a (29-06-2015 19:10:15)

Hors ligne

Pied de page des forums