Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 04-02-2015 14:10:19

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

[abandon]Installation SELinux (sécurité)

installation des packets :

aptitude install selinux-basics selinux-policy-default


Pas de version candidate trouvée pour selinux-policy-default
Pas de version candidate trouvée pour selinux-policy-default
Les NOUVEAUX paquets suivants vont être installés :
  checkpolicy{a} libapol4{a} libauparse0{a} libqpol1{a} policycoreutils{a} python-audit{a} python-ipy{a} python-selinux{a} python-semanage{a} python-sepolgen{a} python-sepolicy{a} python-setools{a}
  selinux-basics selinux-utils{a} setools{a}
0 paquets mis à jour, 15 nouvellement installés, 0 à enlever et 4 non mis à jour.
Il est nécessaire de télécharger 4 032 ko d'archives. Après dépaquetage, 15,2 Mo seront utilisés.
Voulez-vous continuer ? [Y/n/?] y
Prendre :  1 http://ftp.fr.debian.org/debian/ jessie/main libqpol1 amd64 3.3.8-3.1 [198 kB]
Prendre :  2 http://ftp.fr.debian.org/debian/ jessie/main libapol4 amd64 3.3.8-3.1 [100 kB]
Prendre :  3 http://ftp.fr.debian.org/debian/ jessie/main libauparse0 amd64 1:2.4-1+b1 [46,2 kB]
Prendre :  4 http://ftp.fr.debian.org/debian/ jessie/main checkpolicy amd64 2.3-1 [161 kB]
Prendre :  5 http://ftp.fr.debian.org/debian/ jessie/main python-ipy all 1:0.81-1 [30,5 kB]
Prendre :  6 http://ftp.fr.debian.org/debian/ jessie/main python-selinux amd64 2.3-2 [171 kB]
Prendre :  7 http://ftp.fr.debian.org/debian/ jessie/main python-semanage amd64 2.3-1+b1 [61,7 kB]
Prendre :  8 http://ftp.fr.debian.org/debian/ jessie/main python-setools amd64 3.3.8-3.1 [357 kB]
Prendre :  9 http://ftp.fr.debian.org/debian/ jessie/main python-sepolgen all 1.2.1-1 [66,5 kB]                                                                                                                    
Prendre :  10 http://ftp.fr.debian.org/debian/ jessie/main python-sepolicy amd64 2.3-1 [1 523 kB]                                                                                                                  
Prendre :  11 http://ftp.fr.debian.org/debian/ jessie/main selinux-utils amd64 2.3-2 [84,6 kB]                                                                                                                    
Prendre :  12 http://ftp.fr.debian.org/debian/ jessie/main policycoreutils amd64 2.3-1 [686 kB]                                                                                                                    
Prendre :  13 http://ftp.fr.debian.org/debian/ jessie/main selinux-basics all 0.5.2 [15,5 kB]                                                                                                                      
Prendre :  14 http://ftp.fr.debian.org/debian/ jessie/main setools amd64 3.3.8-3.1 [471 kB]                                                                                                                        
Prendre :  15 http://ftp.fr.debian.org/debian/ jessie/main python-audit amd64 1:2.4-1+b1 [60,8 kB]                                                                                                                
 4 032 ko téléchargés en 21s (186 ko/s)                                                                                                                                                                            
Sélection du paquet libqpol1:amd64 précédemment désélectionné.
(Lecture de la base de données... 112789 fichiers et répertoires déjà installés.)
Préparation du dépaquetage de .../libqpol1_3.3.8-3.1_amd64.deb ...
Dépaquetage de libqpol1:amd64 (3.3.8-3.1) ...
Sélection du paquet libapol4:amd64 précédemment désélectionné.
Préparation du dépaquetage de .../libapol4_3.3.8-3.1_amd64.deb ...
Dépaquetage de libapol4:amd64 (3.3.8-3.1) ...
Sélection du paquet libauparse0:amd64 précédemment désélectionné.
Préparation du dépaquetage de .../libauparse0_1%3a2.4-1+b1_amd64.deb ...
Dépaquetage de libauparse0:amd64 (1:2.4-1+b1) ...
Sélection du paquet checkpolicy précédemment désélectionné.
Préparation du dépaquetage de .../checkpolicy_2.3-1_amd64.deb ...
Dépaquetage de checkpolicy (2.3-1) ...
Sélection du paquet python-ipy précédemment désélectionné.
Préparation du dépaquetage de .../python-ipy_1%3a0.81-1_all.deb ...
Dépaquetage de python-ipy (1:0.81-1) ...
Sélection du paquet python-selinux précédemment désélectionné.
Préparation du dépaquetage de .../python-selinux_2.3-2_amd64.deb ...
Dépaquetage de python-selinux (2.3-2) ...
Sélection du paquet python-semanage précédemment désélectionné.
Préparation du dépaquetage de .../python-semanage_2.3-1+b1_amd64.deb ...
Dépaquetage de python-semanage (2.3-1+b1) ...
Sélection du paquet python-setools précédemment désélectionné.
Préparation du dépaquetage de .../python-setools_3.3.8-3.1_amd64.deb ...
Dépaquetage de python-setools (3.3.8-3.1) ...
Sélection du paquet python-sepolgen précédemment désélectionné.
Préparation du dépaquetage de .../python-sepolgen_1.2.1-1_all.deb ...
Dépaquetage de python-sepolgen (1.2.1-1) ...
Sélection du paquet python-sepolicy précédemment désélectionné.
Préparation du dépaquetage de .../python-sepolicy_2.3-1_amd64.deb ...
Dépaquetage de python-sepolicy (2.3-1) ...
Sélection du paquet selinux-utils précédemment désélectionné.
Préparation du dépaquetage de .../selinux-utils_2.3-2_amd64.deb ...
Dépaquetage de selinux-utils (2.3-2) ...
Sélection du paquet policycoreutils précédemment désélectionné.
Préparation du dépaquetage de .../policycoreutils_2.3-1_amd64.deb ...
Dépaquetage de policycoreutils (2.3-1) ...
Sélection du paquet selinux-basics précédemment désélectionné.
Préparation du dépaquetage de .../selinux-basics_0.5.2_all.deb ...
Dépaquetage de selinux-basics (0.5.2) ...
Sélection du paquet setools précédemment désélectionné.
Préparation du dépaquetage de .../setools_3.3.8-3.1_amd64.deb ...
Dépaquetage de setools (3.3.8-3.1) ...
Sélection du paquet python-audit précédemment désélectionné.
Préparation du dépaquetage de .../python-audit_1%3a2.4-1+b1_amd64.deb ...
Dépaquetage de python-audit (1:2.4-1+b1) ...
Traitement des actions différées (« triggers ») pour man-db (2.7.0.2-5) ...
Paramétrage de libqpol1:amd64 (3.3.8-3.1) ...
Paramétrage de libapol4:amd64 (3.3.8-3.1) ...
Paramétrage de libauparse0:amd64 (1:2.4-1+b1) ...
Paramétrage de checkpolicy (2.3-1) ...
Paramétrage de python-ipy (1:0.81-1) ...
Paramétrage de python-selinux (2.3-2) ...
Paramétrage de python-semanage (2.3-1+b1) ...
Paramétrage de python-setools (3.3.8-3.1) ...
Paramétrage de python-sepolgen (1.2.1-1) ...
Paramétrage de python-sepolicy (2.3-1) ...
Paramétrage de selinux-utils (2.3-2) ...
Paramétrage de policycoreutils (2.3-1) ...
Paramétrage de selinux-basics (0.5.2) ...
update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
Paramétrage de setools (3.3.8-3.1) ...
Paramétrage de python-audit (1:2.4-1+b1) ...
Traitement des actions différées (« triggers ») pour libc-bin (2.19-13) ...



une fois les packets installés activer selinux

selinux-activate




Pour activer selinux:
selinux=1 , audit=1 , enforcing=1 (cette derniere je le ferai plus tard , permet de mettre les regles en fonction (permissives par defaut))
active selinux et et active les logs

la commande selinux-activate a modifier  le fichier de configuration du chargeur de demarrage GRUB
pour ajouter les parametres désirés:

nano /etc/default/grub


# If you change this file, run 'update-grub' afterwards to update
# /boot/grub/grub.cfg.
# For full documentation of the options in this file, see:
#   info -f grub -n 'Simple configuration'

GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="quiet"
GRUB_CMDLINE_LINUX="selinux=1 security=selinux audit=1"

# Uncomment to enable BadRAM filtering, modify to suit your needs
# This works with Linux (no patch required) and with any kernel that obtains
# the memory map information from GRUB (GNU Mach, kernel of FreeBSD ...)
#GRUB_BADRAM="0x01234567,0xfefefefe,0x89abcdef,0xefefefef"

# Uncomment to disable graphical terminal (grub-pc only)
#GRUB_TERMINAL=console

# The resolution used on graphical terminal
# note that you can use only modes which your graphic card supports via VBE
# you can see them in real GRUB with the command `vbeinfo'
#GRUB_GFXMODE=640x480

# Uncomment if you don't want GRUB to pass "root=UUID=xxx" parameter to Linux
#GRUB_DISABLE_LINUX_UUID=true

# Uncomment to disable generation of recovery mode menu entries
#GRUB_DISABLE_RECOVERY="true"

# Uncomment to get a beep at grub start
#GRUB_INIT_TUNE="480 440 1"
 



et exécuter

update-grub


Création du fichier de configuration GRUB…
Image Linux trouvée : /boot/vmlinuz-3.16-3-amd64
Image mémoire initiale trouvée : /boot/initrd.img-3.16-3-amd64
Image Linux trouvée : /boot/vmlinuz-3.16-2-amd64
Image mémoire initiale trouvée : /boot/initrd.img-3.16-2-amd64
fait



explications : selinux-activate a ajouté a grub "selinux=1 security=selinux"
manuellement j ai ajouté audit =1 et update grub pour la prise en compte

ABANDON suite a l absence du packet  selinux-policy-default  dans debian

Dernière modification par robert2a (04-02-2015 17:55:40)

Hors ligne

#2 04-02-2015 14:39:15

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [abandon]Installation SELinux (sécurité)

a partir de la je suis perdu , ils appellent parametres désires : selinux=1 , audit=1 enforcing=1  selinux-activate ?
ou il sagit d autre chose.

a priori il faut mettre les options dans grub (et pas dans la console root)

ps: j ai trouvé tongue  , selinux-activate va nous simplifier la vie je reprend mon install au dessus avec valeur correcte.

ça ne fonctionne pas  , id --context (-Z) ne fonctionne qu avec noyau avec SELinux activé
le noyau de Jessie supporte selinux ?

voici ce que je trouve

Gel de Debian 8.0 « Jessie »

Le lendemain de l'annonce de la 7.2, la Release Team de Debian a annoncé très officiellement le gel de la prochaine version stable à 23:59 UTC le 5 novembre 2014 (Oui, l'année prochaine), permettant d'anticiper la sortie de la version finale de Jessie en 2015 (sans aucune garantie toutefois !). Cela permet de commencer à proposer des objectifs pour la version finale et aux développeurs de se concentrer sur la correction de bugs et d'atteindre les objectifs. Parmi ceux_ci, on note :

    le support natif de systemd par chaque package qui propose des scripts SysV (même si celui-ci ne semble pas être remplacé en tant que système par défaut) ;
    Le durcissement des binaires au format ELF ;
    Le respects des flags CC/CXX ;
    La compilation via LLVM/Clang en plus de GCC ;
    Une archive piuparts propre ;
    La chaîne d'outil de cross compilation fournie dans les archives ;
    Faire en sorte que le système de base soit entièrement cross-compilable ;
    Intégration des backdoors de la NSA de SELinux ;
    UTF-8.
j ai pas de wheezy pour test hmm

mon noyau est le 3.16-3-amd64 et update-grub me met des messages d avertissement pour sda2 (qui est le swap)  sda1 le filesystem (partition principale).
je n ai pas de messages particulier sur le syslog a part audit (quand il est activé)

je sent que ça pas etre triste encore comme  install .......   roll cool

Dernière modification par robert2a (04-02-2015 16:50:04)

Hors ligne

#3 04-02-2015 16:57:17

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : [abandon]Installation SELinux (sécurité)

Il n'y a pas de paquet selinux-policy-default pour Jessie. (1)
Tu essayes de suivre https://www.wzdftpd.net/docs/selinux/us … linux.html  ?

Tu auras peut-être d'autres infos dans cette discussion : https://www.debian-fr.org/activer-selin … 51078.html

(1) edit : il existe dans sid, tu peux l'utiliser si les dépendances sont satisfaires au niveau des versions.

Dernière modification par paskal (04-02-2015 17:12:18)


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#4 04-02-2015 17:22:29

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [abandon]Installation SELinux (sécurité)

on ne se moque pas sad  j ai force selinux est bien sur au reboot plantage , un rescue avec le cd et me voila de retour
entre temps apres tentative de nettoyage (on ne peut pas enlever selinux-policy il n est pas installe lol ) j ai bien ce paquet manquant tongue donc je le cherche
je regarde tes liens merci
@++

ps: apres lecture et potentiel probleme , j abandonne , si debian ajoute le paquet a ses depots je reprendrai l installation.

purge de tous les fichiers , selinux a priori n est pas le seul , voir ton 2eme lien

Dernière modification par robert2a (04-02-2015 17:52:54)

Hors ligne

#5 07-03-2015 11:46:27

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : [abandon]Installation SELinux (sécurité)

j'ai trouvé un paquet dans sid pour selinux , peut etre qu il va passer sous test , pour refaire un essaie de selinux sous jessie.
j'ai pas trop envie de créer des regles dans un premier temps hmm
il ne faudrait pas que ça me bloque des choses comme au premier test avec un selinux-policy-default récupéré sur le site selinux.

https://packages.debian.org/fr/sid/seli … cy-default

Hors ligne

Pied de page des forums