Adicionando o fcontext ao aplicativo não confinado

Navegue suas respostas
2

Isso parece a pior reviravolta do destino de todos os tempos ... Um usuário está me preparando para configurar o tomEE ( apache-tomee-jaxrs-1.7.4 ). Isso está em uma máquina RHEL6.

Eu instalei a partir do tarball disponível no site do apache, e estava todo preparado para lutar contra o selinux para que ele funcionasse ... e então percebi que por ser da fonte ... não há nenhum contexto padrão aplicado.

Eu nunca tive que trabalhar com essa finalidade antes, geralmente eu estou lutando com o selinux para fazer as coisas funcionarem de um estado seguro, agora eu preciso pegar algo que já está funcionando e forçá-lo a um espaço confinado, e eu Eu realmente não sei por onde começar.

Então, eu acho que a minha pergunta é ... Como eu começo a construir um espaço confinado para algo que atualmente é definido apenas em contextos não delimitados padrão?

    
por Gravy 28.04.2016 / 00:40

1 resposta

0

Se você não tem experiência em escrever módulos de política SELinux personalizados, pode começar a usar policygentool para gerar um módulo mínimo. Este módulo contém tipos básicos de arquivos, regras de rotulagem e a transição para o domínio confinado.

  1. Gere o módulo básico com policygentool <name> <executable>

    Os arquivos importantes são arquivos de execução de tipo ( .te ) e contexto de arquivo ( .fc ). As regras de política estão no arquivo de imposição de tipo e as regras de rotulagem estão no arquivo de contexto do arquivo. Se você precisar de regras de rotulagem adicionais, defina-as no arquivo de contexto do arquivo.

  2. Compile o módulo de política usando o makefile fornecido por selinux-devel ( /usr/share/selinux/devel/Makefile ou similar). Em seguida, instale o módulo com semodule .

    O restante da política pode ser gerado usando audit2allow . Antes de executar o aplicativo, semanage permissive pode definir o domínio para o modo permissivo, permitindo a operação normal enquanto as mensagens de negação do AVC são geradas.

  3. Depois de obter logs suficientes, use audit2allow para gerar as regras e anexá-las ao arquivo de imposição de tipo. Também incremente o número da versão lá. Em seguida, compile e instale o novo módulo.

  4. Se não forem geradas mais mensagens de negação do AVC, você poderá alterar seu domínio de volta para o modo de aplicação. Caso contrário, repita a partir do passo 3.

por 10.10.2018 / 07:15

Tags

Tmpfs com estouro no disco? script python via regras do udev para monitor de porta de exibição hotplugging [closed]