āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻāĻŋāĻ° āĻ
āĻ¨ā§āĻŦāĻžāĻĻāĻāĻŋ āĻā§āĻ°ā§āĻ¸ā§āĻ° āĻļāĻŋāĻā§āĻˇāĻžāĻ°ā§āĻĨā§āĻĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŦāĻŋāĻļā§āĻˇāĻāĻžāĻŦā§ āĻĒā§āĻ°āĻ¸ā§āĻ¤ā§āĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛
āĻāĻāĻžāĻ¨ā§ āĻāĻĒāĻ¨āĻŋ āĻā§āĻŦāĻ¨, āĻŽāĻšāĻžāĻŦāĻŋāĻļā§āĻŦ āĻāĻŦāĻ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ā§āĻ° āĻ¸āĻŦāĻāĻŋāĻā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻāĻ¨ā§āĻ¨āĻ¤ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§āĻ°ā§āĻŖ āĻĒā§āĻ°āĻļā§āĻ¨ā§āĻ° āĻāĻ¤ā§āĻ¤āĻ° āĻĒāĻžāĻŦā§āĻ¨āĨ¤
"āĻā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§āĻ°ā§āĻŖ āĻ¸āĻ¤ā§āĻ¯ āĻ¯ā§ āĻāĻŋāĻ¨āĻŋāĻ¸āĻā§āĻ˛āĻŋ āĻ¸āĻŦāĻ¸āĻŽāĻ¯āĻŧ āĻ¯āĻž āĻŽāĻ¨ā§ āĻšāĻ¯āĻŧ āĻ¤āĻž āĻšāĻ¯āĻŧ āĻ¨āĻž āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻā§āĻāĻžāĻ¨..."
-āĻĄāĻāĻ˛āĻžāĻ¸ āĻ ā§āĻ¯āĻžāĻĄāĻžāĻŽāĻ¸, The Hitchhiker's Guide to the Galaxy
āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻŦāĻ°ā§āĻ§āĻŋāĻ¤ āĻ¨āĻŋāĻ°ā§āĻāĻ°āĻ¯ā§āĻā§āĻ¯āĻ¤āĻžāĨ¤ āĻāĻŋāĻ āĻŋāĻĒāĻ¤ā§āĻ°āĨ¤ āĻ¨ā§āĻ¤āĻŋ. Apocalypse sysadmin āĻāĻ° āĻāĻžāĻ° āĻā§āĻĄāĻŧāĻ¸āĻāĻ¯āĻŧāĻžāĻ°. āĻāĻŽāĻžāĻĻā§āĻ° āĻĻā§āĻ¨āĻ¨ā§āĻĻāĻŋāĻ¨ āĻāĻžāĻāĻā§āĻ˛āĻŋ āĻāĻžāĻĄāĻŧāĻžāĻ - āĻĒāĻ°ā§āĻ¯āĻŦā§āĻā§āĻˇāĻŖ, āĻŦā§āĻ¯āĻžāĻāĻāĻĒ, āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨, āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨, āĻāĻĒāĻĄā§āĻ āĻāĻ°āĻž āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ - āĻāĻŽāĻ°āĻž āĻāĻŽāĻžāĻĻā§āĻ° āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§āĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻžāĻ° āĻāĻ¨ā§āĻ¯āĻ āĻĻāĻžāĻ¯āĻŧā§ā§ˇ āĻāĻŽāĻ¨āĻāĻŋ āĻ¸ā§āĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽāĻā§āĻ˛āĻŋ āĻ¯ā§āĻāĻžāĻ¨ā§ āĻ¤ā§āĻ¤ā§āĻ¯āĻŧ āĻĒāĻā§āĻˇā§āĻ° āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§ āĻ¸ā§āĻĒāĻžāĻ°āĻŋāĻļ āĻāĻ°ā§ āĻ¯ā§ āĻāĻŽāĻ°āĻž āĻāĻ¨ā§āĻ¨āĻ¤ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ
āĻā§āĻˇāĻŽ āĻāĻ°āĻŋāĨ¤ āĻāĻāĻž āĻāĻžāĻā§āĻ° āĻŽāĻ¤ āĻŽāĻ¨ā§ āĻšāĻ¯āĻŧ
āĻāĻ āĻĻā§āĻŦāĻŋāĻ§āĻž āĻ¸āĻŽā§āĻŽā§āĻā§āĻ¨, āĻāĻŋāĻā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻĒā§āĻ°āĻļāĻžāĻ¸āĻ āĻā§āĻ°āĻšāĻŖ āĻāĻ°āĻžāĻ° āĻ¸āĻŋāĻĻā§āĻ§āĻžāĻ¨ā§āĻ¤ āĻ¨āĻŋāĻ¯āĻŧā§āĻā§
The Hitchhiker's Guide to the Galaxy-āĻāĻ° āĻā§āĻ¤āĻ¨āĻžāĻ¯āĻŧ, āĻāĻāĻžāĻ¨ā§ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻŦāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§āĻ°ā§āĻŖ āĻĒā§āĻ°āĻļā§āĻ¨ā§āĻ° 42āĻāĻŋ āĻāĻ¤ā§āĻ¤āĻ° āĻ°āĻ¯āĻŧā§āĻā§ā§ˇ
1. SELinux āĻšāĻ˛ āĻāĻāĻāĻŋ āĻŦāĻžāĻ§ā§āĻ¯āĻ¤āĻžāĻŽā§āĻ˛āĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ, āĻ¯āĻžāĻ° āĻŽāĻžāĻ¨ā§ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻāĻāĻāĻŋ āĻ˛ā§āĻŦā§āĻ˛ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻĢāĻžāĻāĻ˛, āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻāĻŦāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ āĻŦāĻā§āĻā§āĻā§āĻ°āĻ āĻ˛ā§āĻŦā§āĻ˛ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻ¨ā§āĻ¤āĻŋ āĻ¨āĻŋāĻ¯āĻŧāĻŽ āĻā§āĻ¯āĻžāĻ āĻāĻ°āĻž āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻŦāĻ āĻŦāĻ¸ā§āĻ¤ā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻ°ā§āĨ¤ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻāĻ āĻ¨āĻŋāĻ¯āĻŧāĻŽāĻā§āĻ˛āĻŋ āĻĒā§āĻ°āĻ¯āĻŧā§āĻ āĻāĻ°ā§āĨ¤
2. āĻĻā§āĻāĻŋ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§āĻ°ā§āĻŖ āĻ§āĻžāĻ°āĻŖāĻž āĻšāĻ˛: āĻ˛ā§āĻŦā§āĻ˛ â āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤āĻāĻ°āĻŖ (āĻĢāĻžāĻāĻ˛, āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž, āĻĒā§āĻ°ā§āĻ, āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ) āĻāĻŦāĻ āĻĒā§āĻ°āĻ¯āĻŧā§āĻā§āĻ° āĻ§āĻ°āĻ¨ (āĻ¯āĻž āĻĒā§āĻ°āĻāĻžāĻ°ā§āĻ° āĻāĻĒāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§ āĻāĻā§ āĻ āĻĒāĻ°ā§āĻ° āĻĨā§āĻā§ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋāĻā§ āĻŦāĻŋāĻā§āĻāĻŋāĻ¨ā§āĻ¨ āĻāĻ°ā§)āĨ¤
3. āĻ¸āĻ āĻŋāĻ āĻ˛ā§āĻŦā§āĻ˛ āĻŦāĻŋāĻ¨ā§āĻ¯āĻžāĻ¸ user:role:type:level
(āĻāĻā§āĻāĻŋāĻ)āĨ¤
4. āĻŦāĻšā§-āĻ¸ā§āĻ¤āĻ°ā§āĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻĒā§āĻ°āĻĻāĻžāĻ¨ā§āĻ° āĻāĻĻā§āĻĻā§āĻļā§āĻ¯ (āĻŽāĻžāĻ˛ā§āĻāĻŋ-āĻ˛ā§āĻā§āĻ˛ āĻ¸āĻŋāĻāĻŋāĻāĻ°āĻŋāĻāĻŋ - āĻāĻŽāĻāĻ˛āĻāĻ¸) āĻšāĻ˛ āĻ¤āĻžāĻ°āĻž āĻ¯ā§ āĻĄā§āĻāĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŦā§ āĻ¤āĻžāĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻžāĻ° āĻ¸ā§āĻ¤āĻ°ā§āĻ° āĻāĻĒāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋ (āĻĄā§āĻŽā§āĻ¨) āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°āĻžāĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻāĻāĻŋ āĻā§āĻĒāĻ¨ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻļā§āĻ°ā§āĻˇ āĻā§āĻĒāĻ¨ āĻ¤āĻĨā§āĻ¯ āĻĒāĻĄāĻŧāĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¨āĻžāĨ¤
5. āĻŦāĻšā§-āĻŦāĻŋāĻāĻžāĻā§āĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻž (āĻŽāĻžāĻ˛ā§āĻāĻŋ-āĻā§āĻ¯āĻžāĻāĻžāĻāĻ°āĻŋ āĻ¸āĻŋāĻāĻŋāĻāĻ°āĻŋāĻāĻŋ - āĻāĻŽāĻ¸āĻŋāĻāĻ¸) āĻāĻā§ āĻ āĻĒāĻ°ā§āĻ° āĻĨā§āĻā§ āĻ āĻ¨ā§āĻ°ā§āĻĒ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋāĻā§ āĻ°āĻā§āĻˇāĻž āĻāĻ°ā§ (āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻžāĻ°ā§āĻā§āĻ¯āĻŧāĻžāĻ˛ āĻŽā§āĻļāĻŋāĻ¨, āĻāĻĒā§āĻ¨āĻļāĻŋāĻĢāĻ āĻāĻā§āĻāĻŋāĻ¨, SELinux āĻ¸ā§āĻ¯āĻžāĻ¨ā§āĻĄāĻŦāĻā§āĻ¸, āĻāĻ¨ā§āĻā§āĻ¨āĻžāĻ°, āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ)āĨ¤
6. āĻŦā§āĻā§ SELinux āĻŽā§āĻĄ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻŦāĻŋāĻāĻ˛ā§āĻĒ:
autorelabel=1
â āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽāĻā§ āĻ°āĻŋāĻŦā§āĻ˛āĻŋāĻ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻžāĻ°āĻŖ āĻāĻ°ā§selinux=0
â āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ SELinux āĻĒāĻ°āĻŋāĻāĻžāĻ āĻžāĻŽā§ āĻ˛ā§āĻĄ āĻāĻ°ā§ āĻ¨āĻženforcing=0
â āĻĒāĻžāĻ°āĻŽāĻŋāĻ¸āĻŋāĻ āĻŽā§āĻĄā§ āĻ˛ā§āĻĄ āĻšāĻā§āĻā§
7. āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ āĻĒā§āĻ°ā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽāĻāĻŋ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻ˛ā§āĻŦā§āĻ˛ āĻāĻ°āĻ¤ā§ āĻāĻžāĻ¨:
# touch /.autorelabel
#reboot
āĻ¯āĻĻāĻŋ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤āĻāĻ°āĻŖā§ āĻĒā§āĻ°āĻā§āĻ° āĻĒāĻ°āĻŋāĻŽāĻžāĻŖā§ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻĨāĻžāĻā§, āĻ¤āĻžāĻšāĻ˛ā§ āĻāĻĒāĻ¨āĻžāĻā§ āĻ¸āĻĢāĻ˛ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻŽāĻ¨ā§āĻ¤āĻŦā§āĻ¯ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ¨ā§āĻŽāĻ¤āĻŋāĻŽā§āĻ˛āĻ āĻŽā§āĻĄā§ āĻŦā§āĻ āĻāĻ°āĻ¤ā§ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
8. SELinux āĻ¸āĻā§āĻˇāĻŽ āĻāĻŋāĻ¨āĻž āĻ¤āĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻ¤ā§: # getenforce
9. āĻ¸āĻžāĻŽāĻ¯āĻŧāĻŋāĻāĻāĻžāĻŦā§ SELinux āĻ¸āĻā§āĻˇāĻŽ/āĻ
āĻā§āĻˇāĻŽ āĻāĻ°āĻ¤ā§: # setenforce [1|0]
10. SELinux āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻž āĻšāĻā§āĻā§: # sestatus
11. āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛: /etc/selinux/config
12. SELinux āĻāĻŋāĻāĻžāĻŦā§ āĻāĻžāĻ āĻāĻ°ā§? āĻāĻāĻžāĻ¨ā§ Apache āĻāĻ¯āĻŧā§āĻŦ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ˛:
- āĻŦāĻžāĻāĻ¨āĻžāĻ°āĻŋ āĻāĻĒāĻ¸ā§āĻĨāĻžāĻĒāĻ¨āĻž:
/usr/sbin/httpdâhttpd_exec_t
- āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ:
/etc/httpdâhttpd_config_t
- āĻ˛āĻ āĻĢāĻžāĻāĻ˛ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ:
/var/log/httpd â httpd_log_t
- āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ:
/var/www/html â httpd_sys_content_t
- āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻ˛āĻā§āĻ āĻāĻ°ā§āĻ¨:
/usr/lib/systemd/system/httpd.service â httpd_unit_file_d
- āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž:
/usr/sbin/httpd -DFOREGROUND â httpd_t
- āĻŦāĻ¨ā§āĻĻāĻ°:
80/tcp, 443/tcp â httpd_t, http_port_t
āĻĒā§āĻ°ā§āĻā§āĻˇāĻžāĻĒāĻā§ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻ˛āĻā§ httpd_t
, āĻāĻāĻāĻŋ āĻ˛ā§āĻŦā§āĻ˛āĻ¯ā§āĻā§āĻ¤ āĻŦāĻ¸ā§āĻ¤ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¯ā§āĻāĻžāĻ¯ā§āĻ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§ httpd_something_t
.
13. āĻ
āĻ¨ā§āĻ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻāĻāĻāĻŋ āĻ¯ā§āĻā§āĻ¤āĻŋ āĻā§āĻ°āĻšāĻŖ āĻāĻ°ā§ -Z
āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻĻā§āĻāĻ¤ā§, āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻ¤ā§ āĻāĻŦāĻ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§:
ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z
āĻĒā§āĻ°āĻ¸āĻā§āĻāĻā§āĻ˛āĻŋ āĻĒā§āĻ°āĻ¤āĻŋāĻˇā§āĻ āĻŋāĻ¤ āĻšāĻ¯āĻŧ āĻ¯āĻāĻ¨ āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋ āĻ¤āĻžāĻĻā§āĻ° āĻŽā§āĻ˛ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ° āĻĒā§āĻ°āĻ¸āĻā§āĻā§āĻ° āĻāĻĒāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧ (āĻāĻŋāĻā§ āĻŦā§āĻ¯āĻ¤āĻŋāĻā§āĻ°āĻŽ āĻ¸āĻš)āĨ¤ RPMāĻā§āĻ˛āĻŋ āĻāĻ¨āĻ¸ā§āĻāĻ˛ā§āĻļāĻ¨ā§āĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
14. SELinux āĻ¤ā§āĻ°ā§āĻāĻŋāĻ° āĻāĻžāĻ°āĻāĻŋ āĻĒā§āĻ°āĻ§āĻžāĻ¨ āĻāĻžāĻ°āĻŖ āĻ°āĻ¯āĻŧā§āĻā§, āĻ¯āĻž āĻ¨ā§āĻā§āĻ° 15-21 āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻā§ āĻāĻ°āĻ āĻŦāĻŋāĻļāĻĻā§ āĻŦāĻ°ā§āĻŖāĻ¨āĻž āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§:
- āĻ˛ā§āĻŦā§āĻ˛āĻŋāĻ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž
- SELinux āĻā§ āĻāĻžāĻ¨āĻ¤ā§ āĻšāĻŦā§ āĻāĻŽāĻ¨ āĻāĻŋāĻā§āĻ° āĻāĻžāĻ°āĻŖā§
- SELinux āĻ¨ā§āĻ¤āĻŋ/āĻ ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻā§āĻļāĻžāĻ¨ā§ āĻ¤ā§āĻ°ā§āĻāĻŋ
- āĻāĻĒāĻ¨āĻžāĻ° āĻ¤āĻĨā§āĻ¯ āĻāĻĒāĻ¸ āĻāĻ°āĻž āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§
15. āĻ˛ā§āĻŦā§āĻ˛ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž: āĻ¯āĻĻāĻŋ āĻāĻĒāĻ¨āĻžāĻ° āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋ āĻĨāĻžāĻā§ /srv/myweb
āĻā§āĻ˛āĻāĻžāĻŦā§ āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§, āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ
āĻ¸ā§āĻŦā§āĻāĻžāĻ° āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻāĻžāĻ¨ā§ āĻāĻāĻŋ āĻ āĻŋāĻ āĻāĻ°āĻžāĻ° āĻāĻŋāĻā§ āĻāĻĒāĻžāĻ¯āĻŧ āĻāĻā§:
- āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ āĻ˛ā§āĻŦā§āĻ˛ āĻāĻžāĻ¨ā§āĻ¨:
# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
- āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ āĻ¸āĻŽāĻ¤ā§āĻ˛ā§āĻ¯ āĻāĻŋāĻšā§āĻ¨ āĻ¸āĻš āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛ āĻāĻžāĻ¨ā§āĻ¨:
# semanage fcontext -a -e /srv/myweb /var/www
- āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°āĻž āĻšāĻā§āĻā§ (āĻāĻāĻ¯āĻŧ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§āĻ):
# restorecon -vR /srv/myweb
16. āĻ˛ā§āĻŦā§āĻ˛ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž: āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ āĻĢāĻžāĻāĻ˛āĻāĻŋāĻā§ āĻ āĻ¨ā§āĻ˛āĻŋāĻĒāĻŋ āĻāĻ°āĻžāĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤ā§ āĻ¸āĻ°āĻžāĻ¨, āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻ¤āĻžāĻ° āĻŽā§āĻ˛ āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻ§āĻ°ā§ āĻ°āĻžāĻāĻŦā§āĨ¤ āĻāĻ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻāĻ°āĻ¤ā§:
- āĻ˛ā§āĻŦā§āĻ˛ āĻ¸āĻš āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§āĻ¨:
# chcon -t httpd_system_content_t /var/www/html/index.html
- āĻ˛āĻŋāĻā§āĻ āĻ˛ā§āĻŦā§āĻ˛ āĻ¸āĻš āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§āĻ¨:
# chcon --reference /var/www/html/ /var/www/html/index.html
- āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°ā§āĻ¨ (āĻāĻāĻ¯āĻŧ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§āĻ):
# restorecon -vR /var/www/html/
17. āĻ¯āĻĻāĻŋ SELinux āĻāĻĒāĻ¨āĻžāĻā§ āĻāĻžāĻ¨āĻ¤ā§ āĻšāĻŦā§āĻ¯ā§ HTTPD āĻĒā§āĻ°ā§āĻ 8585 āĻ āĻļā§āĻ¨āĻā§, SELinux āĻā§ āĻŦāĻ˛ā§āĻ¨:
# semanage port -a -t http_port_t -p tcp 8585
18. SELinux āĻāĻĒāĻ¨āĻžāĻā§ āĻāĻžāĻ¨āĻ¤ā§ āĻšāĻŦā§ āĻŦā§āĻ˛āĻŋāĻ¯āĻŧāĻžāĻ¨ āĻŽāĻžāĻ¨ āĻ¯āĻž SELinux āĻ¨ā§āĻ¤āĻŋāĻ° āĻ
āĻāĻļāĻā§āĻ˛āĻŋāĻā§ SELinux āĻ¨ā§āĻ¤āĻŋāĻ° āĻāĻāĻžāĻ°āĻ°āĻžāĻāĻ āĻāĻ°āĻžāĻ° āĻā§āĻāĻžāĻ¨ āĻāĻžāĻĄāĻŧāĻžāĻ āĻ°āĻžāĻ¨āĻāĻžāĻāĻŽā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻžāĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧāĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ httpd āĻāĻŽā§āĻ˛ āĻĒāĻžāĻ āĻžāĻ¤ā§ āĻāĻžāĻ¨ āĻ¤āĻŦā§ āĻ˛āĻŋāĻā§āĻ¨: # setsebool -P httpd_can_sendmail 1
19. SELinux āĻāĻĒāĻ¨āĻžāĻā§ āĻāĻžāĻ¨āĻ¤ā§ āĻšāĻŦā§ SELinux āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ/āĻ āĻā§āĻˇāĻŽ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¯ā§āĻā§āĻ¤āĻŋāĻ āĻŽāĻžāĻ¨:
- āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻŦā§āĻ˛āĻŋāĻ¯āĻŧāĻžāĻ¨ āĻŽāĻžāĻ¨ āĻĻā§āĻāĻ¤ā§:
# getsebool -a
- āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋāĻ° āĻāĻāĻāĻŋ āĻŦāĻŋāĻŦāĻ°āĻŖ āĻĻā§āĻāĻ¤ā§:
# semanage boolean -l
- āĻāĻāĻāĻŋ āĻŦā§āĻ˛āĻŋāĻ¯āĻŧāĻžāĻ¨ āĻŽāĻžāĻ¨ āĻ¸ā§āĻ āĻāĻ°āĻ¤ā§:
# setsebool [_boolean_] [1|0]
- āĻāĻāĻāĻŋ āĻ¸ā§āĻĨāĻžāĻ¯āĻŧā§ āĻāĻ¨āĻ¸ā§āĻāĻ˛ā§āĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯, āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨
-P
āĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ:# setsebool httpd_enable_ftp_server 1 -P
20. SELinux āĻ¨ā§āĻ¤āĻŋ/āĻ ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻā§āĻļāĻžāĻ¨ā§ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻĨāĻžāĻāĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻ¯āĻžāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ°āĻ¯āĻŧā§āĻā§:
- āĻ āĻ¸ā§āĻŦāĻžāĻāĻžāĻŦāĻŋāĻ āĻā§āĻĄ āĻĒāĻžāĻĨ
- āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨
- stdout āĻĒā§āĻ¨āĻāĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°āĻž āĻšāĻā§āĻā§
- āĻĢāĻžāĻāĻ˛ āĻŦāĻ°ā§āĻŖāĻ¨āĻžāĻāĻžāĻ°ā§ āĻĢāĻžāĻāĻ¸
- āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻŽā§āĻŽāĻ°āĻŋ
- āĻĻā§āĻ°ā§āĻŦāĻ˛āĻāĻžāĻŦā§ āĻ¨āĻŋāĻ°ā§āĻŽāĻŋāĻ¤ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ
āĻāĻŋāĻāĻŋāĻ āĻā§āĻ˛ā§āĻ¨ (āĻŦāĻžāĻāĻāĻŋāĻ˛āĻžāĻ¯āĻŧ āĻ°āĻŋāĻĒā§āĻ°ā§āĻ āĻāĻŽāĻž āĻĻā§āĻŦā§āĻ¨ āĻ¨āĻž; āĻŦāĻžāĻāĻāĻŋāĻ˛āĻžāĻ° āĻā§āĻ¨ā§ SLA āĻ¨ā§āĻ)āĨ¤
21. āĻāĻĒāĻ¨āĻžāĻ° āĻ¤āĻĨā§āĻ¯ āĻāĻĒāĻ¸ āĻāĻ°āĻž āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻāĻĒāĻ¨āĻžāĻ° āĻ¯āĻĻāĻŋ āĻ¸ā§āĻŽāĻžāĻŦāĻĻā§āĻ§ āĻĄā§āĻŽā§āĻ¨ āĻĨāĻžāĻā§ āĻ¯āĻž āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°āĻā§āĻ¨:
- āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻŽāĻĄāĻŋāĻāĻ˛ āĻ˛ā§āĻĄ āĻāĻ°ā§āĻ¨
- āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻā§āĻ¤ SELinux āĻŽā§āĻĄ āĻ āĻā§āĻˇāĻŽ āĻāĻ°ā§āĻ¨
- āĻ˛āĻŋāĻā§āĻ¨
etc_t/shadow_t
- iptables āĻ¨āĻŋāĻ¯āĻŧāĻŽ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§āĻ¨
22. āĻ¨ā§āĻ¤āĻŋ āĻŽāĻĄāĻŋāĻāĻ˛ āĻāĻ¨ā§āĻ¨āĻ¯āĻŧāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ SELinux āĻā§āĻ˛:
# yum -y install setroubleshoot setroubleshoot-server
āĻ°āĻŋāĻŦā§āĻ āĻŦāĻž āĻ°āĻŋāĻ¸ā§āĻāĻžāĻ°ā§āĻ āĻāĻ°ā§āĻ¨ auditd
āĻāĻ¨āĻ¸ā§āĻāĻ˛ā§āĻļāĻ¨ā§āĻ° āĻĒāĻ°ā§āĨ¤
23. āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°
journalctl
āĻ¸āĻžāĻĨā§ āĻ¯ā§āĻā§āĻ¤ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ˛āĻā§āĻ° āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻ¨ āĻāĻ°āĻ¤ā§ setroubleshoot
:
# journalctl -t setroubleshoot --since=14:20
24. āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° journalctl
āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ SELinux āĻā§āĻ¯āĻžāĻā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¯ā§āĻā§āĻ¤ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ˛āĻ āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻā§āĻā§āĻ¤ āĻāĻ°āĻ¤ā§āĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻ¸ā§āĻŦāĻ°ā§āĻĒ:
# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0
25. SELinux āĻ¤ā§āĻ°ā§āĻāĻŋ āĻĻā§āĻāĻž āĻĻāĻŋāĻ˛ā§, āĻ˛āĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻ¨ setroubleshoot
āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻ¸āĻŽā§āĻāĻžāĻŦā§āĻ¯ āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻĒā§āĻ°āĻ¸ā§āĻ¤āĻžāĻŦ.
āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻĨā§āĻā§ journalctl
:
Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
***** Plugin restorecon (99.5 confidence) suggests ************************
If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html
26. āĻ˛āĻāĻŋāĻ: SELinux āĻ āĻ¨ā§āĻ āĻāĻžāĻ¯āĻŧāĻāĻžāĻ¯āĻŧ āĻ¤āĻĨā§āĻ¯ āĻ°ā§āĻāĻ°ā§āĻĄ āĻāĻ°ā§:
- āĻĒā§āĻ°āĻĨāĻŽā§āĻ / var / log /? āĻŦāĻžāĻ°ā§āĻ¤āĻž
- /var/log/audit/audit.log
- /var/lib/setroubleshoot/setroubleshoot_database.xml
27. āĻ˛āĻāĻŋāĻ: āĻ āĻĄāĻŋāĻ āĻ˛āĻā§ SELinux āĻ¤ā§āĻ°ā§āĻāĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ¨ā§āĻ¸āĻ¨ā§āĻ§āĻžāĻ¨ āĻāĻ°āĻž āĻšāĻā§āĻā§:
# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today
28. āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĻ° āĻāĻ¨ā§āĻ¯ SELinux āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻā§āĻā§āĻāĻ° āĻā§āĻ¯āĻžāĻļā§ (AVC) āĻŦāĻžāĻ°ā§āĻ¤āĻžāĻā§āĻ˛āĻŋ āĻā§āĻāĻā§ āĻĒā§āĻ¤ā§:
# ausearch -m avc -c httpd
29. āĻāĻāĻāĻŋāĻ˛āĻŋāĻāĻŋ audit2allow
āĻ¨āĻŋāĻˇāĻŋāĻĻā§āĻ§ āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻ˛āĻžāĻĒā§āĻ° āĻ˛āĻ āĻĨā§āĻā§ āĻ¤āĻĨā§āĻ¯ āĻ¸āĻāĻā§āĻ°āĻš āĻāĻ°ā§ āĻāĻŦāĻ āĻ¤āĻžāĻ°āĻĒāĻ° SELinux āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻ¨ā§āĻ¤āĻŋāĻ° āĻ¨āĻŋāĻ¯āĻŧāĻŽ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻ¸ā§āĻŦāĻ°ā§āĻĒ:
- āĻā§āĻ¨ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ
āĻ¸ā§āĻŦā§āĻāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻ¤āĻžāĻ° āĻāĻāĻāĻŋ āĻŽāĻžāĻ¨āĻŦ-āĻĒāĻžāĻ āĻ¯ā§āĻā§āĻ¯ āĻŦāĻ°ā§āĻŖāĻ¨āĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻ¤ā§:
# audit2allow -w -a
- āĻĒā§āĻ°āĻŦā§āĻļāĻžāĻ§āĻŋāĻāĻžāĻ° āĻ
āĻ¸ā§āĻŦā§āĻāĻžāĻ° āĻāĻ°āĻžāĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧ āĻāĻŽāĻ¨ āĻāĻāĻāĻŋ āĻāĻžāĻāĻĒ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻāĻžāĻ°ā§ āĻ¨āĻŋāĻ¯āĻŧāĻŽ āĻĻā§āĻāĻ¤ā§:
# audit2allow -a
- āĻāĻāĻāĻŋ āĻāĻžāĻ¸ā§āĻāĻŽ āĻŽāĻĄāĻŋāĻāĻ˛ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻ¤ā§:
# audit2allow -a -M mypolicy
- āĻŦāĻŋāĻāĻ˛ā§āĻĒ
-M
āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ¨āĻžāĻŽā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻāĻāĻŋ āĻāĻžāĻāĻĒ āĻāĻ¨āĻĢā§āĻ°ā§āĻ¸āĻŽā§āĻ¨ā§āĻ āĻĢāĻžāĻāĻ˛ (.te) āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§ āĻāĻŦāĻ āĻ¨āĻŋāĻ¯āĻŧāĻŽāĻāĻŋāĻā§ āĻāĻāĻāĻŋ āĻ¨ā§āĻ¤āĻŋ āĻĒā§āĻ¯āĻžāĻā§āĻā§ (.pp) āĻāĻŽā§āĻĒāĻžāĻāĻ˛ āĻāĻ°ā§:mypolicy.pp mypolicy.te
- āĻāĻāĻāĻŋ āĻāĻžāĻ¸ā§āĻāĻŽ āĻŽāĻĄāĻŋāĻāĻ˛ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°āĻ¤ā§:
# semodule -i mypolicy.pp
30. āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋāĻŽā§āĻ˛āĻ āĻŽā§āĻĄā§ āĻāĻžāĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻĒā§āĻĨāĻ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž (āĻĄā§āĻŽā§āĻ¨) āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻ¤ā§: # semanage permissive -a httpd_t
31. āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ āĻāĻ° āĻĄā§āĻŽā§āĻ¨āĻāĻŋāĻā§ āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋāĻŽā§āĻ˛āĻ āĻšāĻ¤ā§ āĻ¨āĻž āĻāĻžāĻ¨: # semanage permissive -d httpd_t
32. āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋāĻŽā§āĻ˛āĻ āĻĄā§āĻŽā§āĻ¨ āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻ¤ā§: # semodule -d permissivedomains
33. MLS SELinux āĻ¨ā§āĻ¤āĻŋ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻž āĻšāĻā§āĻā§: # yum install selinux-policy-mls
в /etc/selinux/config:
SELINUX=permissive
SELINUXTYPE=mls
āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°ā§āĻ¨ āĻ¯ā§ SELinux āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋāĻŽā§āĻ˛āĻ āĻŽā§āĻĄā§ āĻāĻ˛āĻā§: # setenforce 0
āĻāĻāĻāĻŋ āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻ¨ fixfiles
āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ°āĻŋāĻŦā§āĻā§ āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻ˛ā§āĻŦā§āĻ˛ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻ¤āĻž āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻ¤ā§:
# fixfiles -F onboot # reboot
34. āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ MLS āĻĒāĻ°āĻŋāĻ¸āĻ° āĻ¸āĻš āĻāĻāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨: # useradd -Z staff_u john
āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ useradd
, āĻ¨āĻ¤ā§āĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻā§ āĻāĻāĻāĻŋ āĻŦāĻŋāĻĻā§āĻ¯āĻŽāĻžāĻ¨ SELinux āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻŽā§āĻ¯āĻžāĻĒ āĻāĻ°ā§āĻ¨ (āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, staff_u
).
35. SELinux āĻāĻŦāĻ Linux āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻŽā§āĻ¯āĻžāĻĒāĻŋāĻ āĻĻā§āĻāĻ¤ā§: # semanage login -l
36. āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻĒāĻ°āĻŋāĻ¸āĻ° āĻ¸āĻāĻā§āĻāĻžāĻ¯āĻŧāĻŋāĻ¤ āĻāĻ°ā§āĻ¨: # semanage login --modify --range s2:c100 john
37. āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻšā§āĻŽ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻ˛ā§āĻŦā§āĻ˛ āĻ¸āĻāĻļā§āĻ§āĻ¨ āĻāĻ°āĻ¤ā§ (āĻ¯āĻĻāĻŋ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻšāĻ¯āĻŧ): # chcon -R -l s2:c100 /home/john
38. āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ āĻŦāĻŋāĻāĻžāĻ āĻĻā§āĻāĻ¤ā§: # chcat -L
39. āĻŦāĻŋāĻāĻžāĻāĻā§āĻ˛āĻŋ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§ āĻŦāĻž āĻāĻĒāĻ¨āĻžāĻ° āĻ¨āĻŋāĻā§āĻ° āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻļā§āĻ°ā§ āĻāĻ°āĻ¤ā§, āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻ¨āĻŋāĻŽā§āĻ¨āĻ°ā§āĻĒ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨āĻž āĻāĻ°ā§āĻ¨:
/etc/selinux/_<
selinuxtype>
_/setrans.conf
40. āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻĢāĻžāĻāĻ˛, āĻā§āĻŽāĻŋāĻāĻž āĻāĻŦāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻĒā§āĻ°āĻ¸āĻā§āĻā§ āĻāĻāĻāĻŋ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻŦāĻž āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯:
# runcon -t initrc_t -r system_r -u user_u yourcommandhere
-t
āĻĢāĻžāĻāĻ˛ āĻĒā§āĻ°āĻ¸āĻā§āĻ-r
āĻā§āĻŽāĻŋāĻāĻž āĻĒā§āĻ°āĻ¸āĻā§āĻ-u
āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻĒā§āĻ°āĻ¸āĻā§āĻ
41. SELinux āĻ āĻā§āĻˇāĻŽ āĻ¸āĻš āĻāĻ˛āĻŽāĻžāĻ¨ āĻĒāĻžāĻ¤ā§āĻ°:
- āĻĒāĻĄāĻŽā§āĻ¯āĻžāĻ¨:
# podman run --security-opt label=disable âĻ
- āĻĄāĻ-āĻļā§āĻ°āĻŽāĻŋāĻ:
# docker run --security-opt label=disable âĻ
42. āĻāĻĒāĻ¨āĻžāĻ° āĻ¯āĻĻāĻŋ āĻāĻ¨ā§āĻā§āĻāĻ¨āĻžāĻ°āĻāĻŋāĻā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĻāĻŋāĻ¤ā§ āĻšāĻ¯āĻŧ:
- āĻĒāĻĄāĻŽā§āĻ¯āĻžāĻ¨:
# podman run --privileged âĻ
- āĻĄāĻ-āĻļā§āĻ°āĻŽāĻŋāĻ:
# docker run --privileged âĻ
āĻāĻŦāĻ āĻāĻāĻ¨ āĻāĻĒāĻ¨āĻŋ āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§ āĻāĻ¤ā§āĻ¤āĻ° āĻāĻžāĻ¨ā§āĻ¨āĨ¤ āĻ¤āĻžāĻ āĻ āĻ¨ā§āĻā§āĻ°āĻš āĻāĻ°ā§: āĻāĻ¤āĻā§āĻāĻŋāĻ¤ āĻšāĻŦā§āĻ¨ āĻ¨āĻž āĻāĻŦāĻ SELinux āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°ā§āĻ¨āĨ¤
āĻ°ā§āĻĢāĻžāĻ°ā§āĻ¨ā§āĻ¸:
SELinux- āĻ° byāĻĄā§āĻ¯āĻžāĻ¨ āĻāĻ¯āĻŧāĻžāĻ˛āĻļ SELinux āĻ¨ā§āĻ¤āĻŋ āĻĒā§āĻ°āĻ¯āĻŧā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻĒāĻ¨āĻžāĻ° āĻāĻŋāĻā§āĻ¯ā§āĻ¯āĻŧāĻžāĻ˛ āĻā§āĻāĻžāĻŦā§ āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļāĻŋāĻāĻž āĻĄā§āĻ¯āĻžāĻ¨ āĻāĻ¯āĻŧāĻžāĻ˛āĻļ āĻĻā§āĻŦāĻžāĻ°āĻžāĻ¨āĻŋāĻāĻ āĻŽāĻžāĻ¨ā§āĻˇā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻāĻ¨ā§āĻ¨āĻ¤ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ byāĻāĻŽāĻžāĻ¸ āĻā§āĻ¯āĻžāĻŽā§āĻ°āĻ¨ SELinux āĻ°āĻāĻŋāĻ¨ āĻŦāĻ byāĻŽāĻžāĻ°āĻŋāĻ¨ āĻĄāĻžāĻĢāĻŋ SELinux āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻāĻŦāĻ āĻĒā§āĻ°āĻļāĻžāĻ¸āĻā§āĻ° āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļāĻŋāĻāĻžâRed Hat Enterprise Linux 7
āĻāĻ¤ā§āĻ¸: www.habr.com