SELinux systemD-vel

Fórumok

Hivatalosan ugyan nem támogatott, de miért ne próbálnám meg. Van egy laptopom, amin SystemD+Gnome profillal van telepítve a gentoo és mivel nem idegenkedem az SELinuxtól bár nem vagyok akkora szakértője, de a szerveremen és az asztali pc-men is van hardened+selinux profillal telepített gentoo, asztalin xfce-vel kiegészítve, ezért gondoltam legyen a laptopon is. Mindent úgy csináltam, ahogy a Gentoo SElinux wikiében van, ami arra tér ki hogyan lehet egy nem SELinux profillal telepített gentoot SELinuxosítani. Egyedül azzal az egyetlen dologgal tértem el a leírástól, hogy nem kapcsoltam át a profilt eselect-tel, mivel akkor nuku systemd és nincs gnome. Van systemdmentes gnome is, de az nem szimpatikus, mivel a függőségek miatt rendszerfájlokat is lecserél, ezzel jelentős biztonsági kockázatot vállalva, pont hogy inkább szigorítani szeretnék, ezért kellene SELinux. A SystemD meg Gnome Shell kell, szerintem egy normális laptopon normális modern asztali környezettel van létjogosultsága a gnomenak meg a systemD-nek, ha RED HAT-ék szerveren is systemD-znek ráadásul alapból SELinux-szal szállítják, nehogy már akkora kunszt legyen ez gentoon.

Szóval azért írok, mert elakadtam és hátha valamelyik gentoos kollégának van erre tuti receptje.

A jelenlegi állás. Adott egy Dell Latitude laptop 18-as profillal telepítve. Minden ok rajta, ezt szeretném SELinuxosítani.

Amit eddig csináltam: Felkészítettem a kernelt és le is forgattam SELinux támogatással, ezzel is fut a rendszer.

Feltelepítettem az alábbi összetevőket: libselinux, selinux-base, selinux-base-policy policycoreutils. Ez utóbbi azért is fontos, mert a wiki szerint policycoreutils telepítése után a portage megpróbálja engedélyezni a selinx támogatást. Ennek ellenére nem.
Fogtam az eleve SELinuxxal telepített gépemet és nyomtam rajta egy emege --info | grep ^USE, amivel kiírta a profil által összes USE változót és én a hiányzókat fel is vettem a make.conf-ba, még a hardened bejegyzést is, mivel hivatalosan a hardened stagen belül van selinux támogatás. A hardened opciót tudomásul is vette, amikor nyomtam egy emerge -uDN @world-döt, de fittyet hány az SELinux bejegyzésre. Telepítettem pár fontos egyéb policyt is.

A másik érdekesseg, hogy mindent megfelelően felkonfiguráltam, de újraindítás után is a sestatus disabled.

1. A portage miért nem vesz tudomást az SELinuxról?
2. Az SELinux miért nem indul el a megfelelő kernellel?

Hozzászólások

Pont az egyik ok a biztonság és a systemd hiánya, amiért Gentoo-t használok. Kiütést kapok a systemd-től és a modern gnome-tól. Ehhez képest felüdülés a MATE vagy az XFCE. Sajnos nem SELinux-ot használok, úgyhogy abban nem tudok a segítségedre lenni. Elvileg az selinux USE-flag-nek el kéne intéznie, hogy felkerüljenek a szükséges csomagok és nem kézzel kellene pakolgatni. Javasolom, hogy keyword-özd az SELinux ebuild-eket, hogy a legújabb legyen fent. A kernelre nem tudok mit mondani, mindig kézzel konfigurálom és fordítom. Mivel hardened-sources már nincs, ezért gentoo-sources-t használok. Azt nem értem, hogy az eselect miért ne venné figyelembe a systemd-t? Pont hogy elég nehéz megszabadulni tőle, ha már egyszer valami berántotta. De meg lehet oldani. Pontosan melyik profile-ról beszélünk most? Nekem most default/linux/amd64/17.0/no-multilib/hardened (stable) van, neked szerintem a default/linux/amd64/17.0/no-multilib/hardened/selinux (stable) kéne.
Összességében: örülnék a systemd hiányának a helyedben, MATE-et és/vagy XFCE-t használnék - mindkettő frankó. Kézzel megnézném a kernel konfigurációt. Csekkolnám a profilt és keyword legyen a csomagokon.
Végezetül kérhetsz még tanácsot a gentoo hardened levlistán vagy az IRC csatornán. Viszonylag reszponzívak voltak régebben.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

"Kiütést kapok a systemd-től és a modern gnome-tól." Nekem is sok időmbe került, míg megszoktam. De szerintem egy modern desktopon elfogadható. Még mindig jobb, mint a Plasma. Én is megvagyok XFCE-vel meg Mate-tel, a desktopomon az van, de ezt a laptopot néha más is használni fogja, ezért döntöttem gnome mellett.

Ez a keyword jó ötlet. Eszembe nem jutott volna. Köszi.

"Pontosan melyik profile-ról beszélünk most?"
18. default/linux/amd64/17.0/desktop/gnome/systemd