[Megoldva] Fedora + selinux + user ping

Red Hat, Fedora, CentOS

Guglizok már egy ideje, de fogalmam sincs hogy hogy lehet a usernek engedélyezni a pinget... Nem sok mindent találtam

Ennyire jutottam: 


[13:19:46] root@Zeus:/etc/selinux/targeted# getenforce 
Enforcing
[13:21:13] root@Zeus:/etc/selinux/targeted# getsebool user_ping
selinuxuser_ping --> on
---
[13:22:10] hornyakn@Zeus:~> ping index.hu
ping: icmp open socket: A művelet nem engedélyezett
---
[13:22:34] root@Zeus:/etc/selinux# grep -R user_ping *
targeted/booleans.subs_dist:user_ping selinuxuser_ping
targeted/policy/policy.27 bináris fájl illeszkedik
targeted/modules/active/policy.kern bináris fájl illeszkedik
targeted/modules/active/booleans.local:selinuxuser_ping=1
  • 7046 megtekintés

( Cajga | 2013. 03. 23., szo – 14:16 )

csinald a kovetkezot es postold ide az outputot:
# semodule -R
$ ping index.hu
# audit2allow -a -l


[17:45:06] root@Zeus:/etc/selinux# semodule -R
---
[13:22:12] hornyakn@Zeus:~> ping index.hu
ping: icmp open socket: A művelet nem engedélyezett
[17:45:35] hornyakn@Zeus:~>
---
[17:45:27] root@Zeus:/etc/selinux# audit2allow -a -l


[17:45:45] root@Zeus:/etc/selinux#

--
The Community ENTerprise Operating System

Na bocs, eddig nem voltam netkozelben.

Szoval ez alapjan nem a selinux a ludas (legalabbis nem kerul semmi loggolasra, ami meg mindig lehet, hogy egy donotaudit rule eredmenye).

Csak, hogy biztosra menyjunk, megkerdezem: probaltad mar kikapcsolni a selinuxot es ugy tesztelni?

Postold ide a seinfo command kimenetet, hogy tudjuk milyen policy-d van.

( zeller | 2013. 03. 23., szo – 19:44 )

Hmmm... CentOS 6.4 működik a dolog, ellenben ha strace ping foo -t próbálok, akkor meg egy socket(PF_INET, SOCK_RAW, IPPROTO_ICMP) = -1 EPERM okán nem...

( jupiter2005ster v | 2013. 03. 23., szo – 20:38 )

semanage user -l
ls -Z /home

az MLS oszlopban leve userek akiknek s0 range-ben vannak, nincs joguk szinte semmire.
a userednek van joga?
biztos a selinux miatt van?
a pingnek jo mindene?
$ ls -lahZ /bin/ping
-rwxr-xr-x. root root system_u:object_r:ping_exec_t:s0 /bin/ping
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

( lberes (nem ellenőrzött) | 2013. 03. 24., v – 08:15 )

Semmi koze az SELinuxhoz, nezd meg, nem kerult-e le a suid bit a pingrol:

lberes@server ~]$ ls -l /bin/ping
-rwsr-xr-x 1 root root 40760 Jul 19 2011 /bin/ping
[lberes@server ~]$ sudo su -
[root@server ~]# chmod -s /bin/ping
[root@server ~]# ls -l /bin/ping
-rwxr-xr-x 1 root root 40760 Jul 19 2011 /bin/ping
[root@server ~]# logout
[lberes@server ~]$ ping index.hu
ping: icmp open socket: Operation not permitted
[lberes@server ~]$ sudo su -
[root@server ~]# chmod +s /bin/ping
[root@server ~]# logout
[lberes@server ~]$ ping index.hu
PING index.hu (217.20.130.97) 56(84) bytes of data.
64 bytes from sportgeza.hu (217.20.130.97): icmp_seq=1 ttl=59 time=8.18 ms
^C
--- index.hu ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 689ms
rtt min/avg/max/mdev = 8.180/8.180/8.180/0.000 ms
[lberes@server ~]$

--
L

Igazabol nem feltetlenul kell neki a suid (http://fedoraproject.org/wiki/Features/RemoveSETUID):
$ ls -al /usr/bin/ping
-rwxr-xr-x. 1 root root 40880 Dec 7 15:19 /usr/bin/ping
[zachar@bali-noti ~]$ ping index.hu
PING index.hu (217.20.130.97) 56(84) bytes of data.
64 bytes from sportgeza.hu (217.20.130.97): icmp_req=1 ttl=53 time=37.2 ms
^C
--- index.hu ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 37.227/37.227/37.227/0.000 ms

Inkabb a "cap_net_raw+ep" capability:
[root@bali-noti ~]# getcap /usr/bin/ping
/usr/bin/ping = cap_net_admin,cap_net_raw+ep
[root@bali-noti ~]# setcap -r /usr/bin/ping
[zachar@bali-noti ~]$ ping index.hu
ping: icmp open socket: Operation not permitted
[root@bali-noti ~]# setcap cap_net_admin,cap_net_raw+ep /usr/bin/ping

Tényleg suod, és a getcap kimenete is üres, viszont a setuid levétele után egy setcap, és műx. 


$ sudo -s
# getcap /bin/ping
# chmod -s /bin/ping
# setcap cap_net_admin,cap_net_raw+ep /bin/ping
# exit
$ ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=25.8 ms
...

A friss, ropogós fedorka kapott tőlem három lehetőséget, hogy felmásszon Virtualboxba. Mind a háromszor összerosálta magát, más-más helyen. A host OS/hardver jó, n+1 VM megy most is rajta, úgyhogy eléggé leszűkül a kör a hiba okára nézve... Az iso-fájl is hibátlannak tűnik (checksum). Memória, diszk szerintem elegendő lett allokálva (1G RAM, 8G diszk); ennyi az összes többi tesztelt disztrónak elég volt, ha fedorkának nem elegendő, akkor meg szóljon, hogy valami kevés, ne összefosimosi legyen az eredmény.

esetleg vbox beallitasok es/vagy uj anaconda telepito. probald a 17-es. a 18-ban atirtak a telepitot. biztos lehet benne hibat talalni.
vbox alatt nekem is gyakran haldoklot, de a fizikai vason soha. kive mikor a telepites kozben elment az aram :D - de azt hiszem az termeszetes hogy ez egy OS sem szereti
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

Az utóbbi időben elég sok rendszert próbáltam, mindnek vannak hiányosságai, hibái, amivel együtt kell élni. Tökéletes nincs, valószínűleg soha nem is lesz. Aki azt mondja, hogy az adott disztró márpedig neki hibátlan, az valószínűleg nem sok mindenre használja a gépét. Ennyi.
--
The Community ENTerprise Operating System