Neo-=IuE=-
31.12.07, 12:41
Ich verwende SELinux um ein System abzusichern, dabei funktioniert alles bis auf der SSHD
/var/log/messages liefert folgendes
Dec 31 13:25:10 sip-server kernel: audit(1199103910.062:3): avc: denied { read } for pid=2524 comm="sshd" name="shadow" dev=hda1 ino=391559 scontext=system_u:system_r:initrc_t:s0 tcontext=system_u:object_r:shadow_t:s0 tclass=file
Dec 31 13:26:12 sip-server kernel: audit(1199103972.298:4): avc: denied { relabelto } for pid=2535 comm="sshd" name="0" dev=devpts ino=2 scontext=system_u:system_r:initrc_t:s0 tcontext=root:object_r:initrc_devpts_t:s0 tclass=chr_file
Dec 31 13:26:12 sip-server kernel: audit(1199103972.318:5): avc: denied { relabelfrom } for pid=2537 comm="sshd" name="0" dev=devpts ino=2 scontext=system_u:system_r:initrc_t:s0 tcontext=root:object_r:initrc_devpts_t:s0 tclass=chr_file
Dec 31 13:26:12 sip-server kernel: audit(1199103972.330:6): avc: denied { transition } for pid=2537 comm="sshd" name="bash" dev=hda1 ino=81446 scontext=system_u:system_r:initrc_t:s0 tcontext=root:sysadm_r:sysadm_t:s0 tclass=process
audit2allow --dmesg liefert mir auch die richtigen "allows" dafür
sip-server:~# audit2allow --dmesg
allow initrc_t initrc_devpts_t:chr_file { relabelfrom relabelto };
allow initrc_t shadow_t:file read;
allow initrc_t sysadm_t:process transition;
ich hab für alle anderen probleme die ich sowieso natürlich hatte ein modul erstellt, aber die 3 zeilen funktionieren anscheinend net
1. und 3. zeile funktioniert anscheinend nicht, weil er erzeugt ma des modul richtig, aber es kommt immer wieder der fehler
2. zeile das mit shadow des nimmt er net, immer folgender fehler:
libsepol.check_assertion_helper: assertion on line 0 violated by allow initrc_t shadow_t:file { read };
libsepol.check_assertions: 1 assertion violations occured
libsemanage.semanage_expand_sandbox: Expand module failed
kann mir wer helfen?
tu jetzt schon den 2. tag da ummadum...
/var/log/messages liefert folgendes
Dec 31 13:25:10 sip-server kernel: audit(1199103910.062:3): avc: denied { read } for pid=2524 comm="sshd" name="shadow" dev=hda1 ino=391559 scontext=system_u:system_r:initrc_t:s0 tcontext=system_u:object_r:shadow_t:s0 tclass=file
Dec 31 13:26:12 sip-server kernel: audit(1199103972.298:4): avc: denied { relabelto } for pid=2535 comm="sshd" name="0" dev=devpts ino=2 scontext=system_u:system_r:initrc_t:s0 tcontext=root:object_r:initrc_devpts_t:s0 tclass=chr_file
Dec 31 13:26:12 sip-server kernel: audit(1199103972.318:5): avc: denied { relabelfrom } for pid=2537 comm="sshd" name="0" dev=devpts ino=2 scontext=system_u:system_r:initrc_t:s0 tcontext=root:object_r:initrc_devpts_t:s0 tclass=chr_file
Dec 31 13:26:12 sip-server kernel: audit(1199103972.330:6): avc: denied { transition } for pid=2537 comm="sshd" name="bash" dev=hda1 ino=81446 scontext=system_u:system_r:initrc_t:s0 tcontext=root:sysadm_r:sysadm_t:s0 tclass=process
audit2allow --dmesg liefert mir auch die richtigen "allows" dafür
sip-server:~# audit2allow --dmesg
allow initrc_t initrc_devpts_t:chr_file { relabelfrom relabelto };
allow initrc_t shadow_t:file read;
allow initrc_t sysadm_t:process transition;
ich hab für alle anderen probleme die ich sowieso natürlich hatte ein modul erstellt, aber die 3 zeilen funktionieren anscheinend net
1. und 3. zeile funktioniert anscheinend nicht, weil er erzeugt ma des modul richtig, aber es kommt immer wieder der fehler
2. zeile das mit shadow des nimmt er net, immer folgender fehler:
libsepol.check_assertion_helper: assertion on line 0 violated by allow initrc_t shadow_t:file { read };
libsepol.check_assertions: 1 assertion violations occured
libsemanage.semanage_expand_sandbox: Expand module failed
kann mir wer helfen?
tu jetzt schon den 2. tag da ummadum...