[Megoldva] Fedora + selinux + user ping

Red Hat, Fedora, CentOS

Guglizok már egy ideje, de fogalmam sincs hogy hogy lehet a usernek engedélyezni a pinget... Nem sok mindent találtam

Ennyire jutottam: 


[13:19:46] root@Zeus:/etc/selinux/targeted# getenforce 
Enforcing
[13:21:13] root@Zeus:/etc/selinux/targeted# getsebool user_ping
selinuxuser_ping --> on
---
[13:22:10] hornyakn@Zeus:~> ping index.hu
ping: icmp open socket: A művelet nem engedélyezett
---
[13:22:34] root@Zeus:/etc/selinux# grep -R user_ping *
targeted/booleans.subs_dist:user_ping selinuxuser_ping
targeted/policy/policy.27 bináris fájl illeszkedik
targeted/modules/active/policy.kern bináris fájl illeszkedik
targeted/modules/active/booleans.local:selinuxuser_ping=1
  • 7046 megtekintés

( Cajga | 2013. 03. 23., szo – 14:16 )

csinald a kovetkezot es postold ide az outputot:
# semodule -R
$ ping index.hu
# audit2allow -a -l


[17:45:06] root@Zeus:/etc/selinux# semodule -R
---
[13:22:12] hornyakn@Zeus:~> ping index.hu
ping: icmp open socket: A művelet nem engedélyezett
[17:45:35] hornyakn@Zeus:~>
---
[17:45:27] root@Zeus:/etc/selinux# audit2allow -a -l


[17:45:45] root@Zeus:/etc/selinux#

--
The Community ENTerprise Operating System

Na bocs, eddig nem voltam netkozelben.

Szoval ez alapjan nem a selinux a ludas (legalabbis nem kerul semmi loggolasra, ami meg mindig lehet, hogy egy donotaudit rule eredmenye).

Csak, hogy biztosra menyjunk, megkerdezem: probaltad mar kikapcsolni a selinuxot es ugy tesztelni?

Postold ide a seinfo command kimenetet, hogy tudjuk milyen policy-d van.

( zeller | 2013. 03. 23., szo – 19:44 )

Hmmm... CentOS 6.4 működik a dolog, ellenben ha strace ping foo -t próbálok, akkor meg egy socket(PF_INET, SOCK_RAW, IPPROTO_ICMP) = -1 EPERM okán nem...

( jupiter2005ster v | 2013. 03. 23., szo – 20:38 )

semanage user -l
ls -Z /home

az MLS oszlopban leve userek akiknek s0 range-ben vannak, nincs joguk szinte semmire.
a userednek van joga?
biztos a selinux miatt van?
a pingnek jo mindene?
$ ls -lahZ /bin/ping
-rwxr-xr-x. root root system_u:object_r:ping_exec_t:s0 /bin/ping
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

Jó kérdések. :) Igazából azt se tudom, mihez kellene jogának lenni, selinuxszal semennyire nem foglalkoztam eddig (max addig amíg kikapcsoltam), így fogalmam sincs. 


[20:55:20] root@Zeus:/etc# semanage user -l

                Címkézés   MLS/       MLS/                          
SELinux felhasználó Előtag     MCS Szint  MCS hatáskör                   SELinux szerepek

git_shell_u     user       s0         s0                             git_shell_r
guest_u         user       s0         s0                             guest_r
root            user       s0         s0-s0:c0.c1023                 staff_r sysadm_r system_r unconfined_r
staff_u         user       s0         s0-s0:c0.c1023                 staff_r sysadm_r system_r unconfined_r
sysadm_u        user       s0         s0-s0:c0.c1023                 sysadm_r
system_u        user       s0         s0-s0:c0.c1023                 system_r unconfined_r
unconfined_u    user       s0         s0-s0:c0.c1023                 system_r unconfined_r
user_u          user       s0         s0                             user_r
xguest_u        user       s0         s0                             xguest_r
[20:55:25] root@Zeus:/etc# ls -Z /home
-rw-------. root     root     system_u:object_r:quota_db_t:s0  aquota.group
-rw-------. root     root     system_u:object_r:quota_db_t:s0  aquota.user
drwxr-xr-x. hornyakn hornyakn unconfined_u:object_r:user_home_dir_t:s0 hornyakn
drwx------. root     root     system_u:object_r:lost_found_t:s0 lost+found
drwxr-xr-x.     1001 users    unconfined_u:object_r:user_home_dir_t:s0 user1
[20:56:59] root@Zeus:/etc# ls -lahZ /bin/ping
-rwxr-xr-x. root root system_u:object_r:ping_exec_t:s0 /bin/ping

--
The Community ENTerprise Operating System

( lberes (nem ellenőrzött) | 2013. 03. 24., v – 08:15 )

Semmi koze az SELinuxhoz, nezd meg, nem kerult-e le a suid bit a pingrol:

lberes@server ~]$ ls -l /bin/ping
-rwsr-xr-x 1 root root 40760 Jul 19 2011 /bin/ping
[lberes@server ~]$ sudo su -
[root@server ~]# chmod -s /bin/ping
[root@server ~]# ls -l /bin/ping
-rwxr-xr-x 1 root root 40760 Jul 19 2011 /bin/ping
[root@server ~]# logout
[lberes@server ~]$ ping index.hu
ping: icmp open socket: Operation not permitted
[lberes@server ~]$ sudo su -
[root@server ~]# chmod +s /bin/ping
[root@server ~]# logout
[lberes@server ~]$ ping index.hu
PING index.hu (217.20.130.97) 56(84) bytes of data.
64 bytes from sportgeza.hu (217.20.130.97): icmp_seq=1 ttl=59 time=8.18 ms
^C
--- index.hu ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 689ms
rtt min/avg/max/mdev = 8.180/8.180/8.180/0.000 ms
[lberes@server ~]$

--
L

Igazabol nem feltetlenul kell neki a suid (http://fedoraproject.org/wiki/Features/RemoveSETUID):
$ ls -al /usr/bin/ping
-rwxr-xr-x. 1 root root 40880 Dec 7 15:19 /usr/bin/ping
[zachar@bali-noti ~]$ ping index.hu
PING index.hu (217.20.130.97) 56(84) bytes of data.
64 bytes from sportgeza.hu (217.20.130.97): icmp_req=1 ttl=53 time=37.2 ms
^C
--- index.hu ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 37.227/37.227/37.227/0.000 ms

Inkabb a "cap_net_raw+ep" capability:
[root@bali-noti ~]# getcap /usr/bin/ping
/usr/bin/ping = cap_net_admin,cap_net_raw+ep
[root@bali-noti ~]# setcap -r /usr/bin/ping
[zachar@bali-noti ~]$ ping index.hu
ping: icmp open socket: Operation not permitted
[root@bali-noti ~]# setcap cap_net_admin,cap_net_raw+ep /usr/bin/ping

Tényleg suod, és a getcap kimenete is üres, viszont a setuid levétele után egy setcap, és műx. 


$ sudo -s
# getcap /bin/ping
# chmod -s /bin/ping
# setcap cap_net_admin,cap_net_raw+ep /bin/ping
# exit
$ ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=25.8 ms
...

A friss, ropogós fedorka kapott tőlem három lehetőséget, hogy felmásszon Virtualboxba. Mind a háromszor összerosálta magát, más-más helyen. A host OS/hardver jó, n+1 VM megy most is rajta, úgyhogy eléggé leszűkül a kör a hiba okára nézve... Az iso-fájl is hibátlannak tűnik (checksum). Memória, diszk szerintem elegendő lett allokálva (1G RAM, 8G diszk); ennyi az összes többi tesztelt disztrónak elég volt, ha fedorkának nem elegendő, akkor meg szóljon, hogy valami kevés, ne összefosimosi legyen az eredmény.

esetleg vbox beallitasok es/vagy uj anaconda telepito. probald a 17-es. a 18-ban atirtak a telepitot. biztos lehet benne hibat talalni.
vbox alatt nekem is gyakran haldoklot, de a fizikai vason soha. kive mikor a telepites kozben elment az aram :D - de azt hiszem az termeszetes hogy ez egy OS sem szereti
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

Az utóbbi időben elég sok rendszert próbáltam, mindnek vannak hiányosságai, hibái, amivel együtt kell élni. Tökéletes nincs, valószínűleg soha nem is lesz. Aki azt mondja, hogy az adott disztró márpedig neki hibátlan, az valószínűleg nem sok mindenre használja a gépét. Ennyi.
--
The Community ENTerprise Operating System