SELinux biztonság

Fórumok

Könnyednek szánom a felvetést, mert nem jártam alaposabban utána a kérdésnek, így lehetnek tévedéseim. Mégis megosztok egy érdekes tapasztalatot.

Van egy live Fedorám, amelyet virtuális gépben magamnak készítek. A /home tmpfs-re van téve, s induláskor tömörített file-ból tar-olom ki a legutóbb mentett profilt, illetve, ha ez nincs, egy default profilt rsync-kel másolok ide. A legújabb image-em elkészítése után nem tudtam bejelentkezni. Nézem, nincs a /home alatt a felhasználónak alkönyvtára, a selinux megakadályozta az rsync-et abban, hogy itt létrehozzon bármit is. A script, amelyik az rsync-et futtatta, az rc.local-ból induló, majd háttérben futó shell script volt root joggal.

Gondoltam egyet, s az rc.local-ba ezt írtam:

chcon -t tmp_t /home

Majd, amikor az rsync bemásolta a felhasználói profilt, fusson ez:

restorecon -F /home

Ezzel visszaállítottam a home_root_t típust.

Nem tudom, hogy szándékos-e az, hogy ugyan nem tudok alkönyvtárat létrehozni a scriptemből futó rsync által - permission denied -, ugyanakkor a típust megváltoztathatom, majd megcsinálhatom, amit szeretnék, végül a típust visszaállíthatom. Mert ez így inkább a népek bosszantása, mintsem valós biztonság.

A megfigyelésem annyiban nem korrekt, hogy a chcon az rc.local-ból fut, míg az rsync az rc.local által indított, majd háttérben futó scriptből.