== SELinux auf SL5 ===

Informationen über das laufende System erhalten

# SELinux modus
getenforce

# man pages
man selinux
man <daemon>_selinux # <daemon> = ftpd, httpd, kerberos, named, nfs, nis, pam, rsync, samba, ypbind

# file contexts
ls -lZ <filename>

# patterns of file names with known contexts (do not edit!!!)
/etc/selinux/targeted/contexts/files/file_contexts

# process contexts
ps -auxwwZ

# a list of defined and installed policy files
ls /usr/share/selinux/targeted

Filekontext ändern

Am sinnvollsten ist es, einen von einer Policy vorgegebenen Ort der Datei/Directory zu wählen und den Kontext entsprechend der Policy zu setzen:

# prüfen, ob Kontext ok
ls -lZ <filename>
# Kontext auf Standardwert setzen
restorecon <filename>
# Kontext ändern (meistens Typ, aber auch Rolle (-r) oder user (-u))
chcon -t <neuer typ> <filename>
# Kontext permanent ändern
semanage ...

Neue Policy erzeugen

zur Ergänzung bestehender Policies können die avc denied Meldungen benutzt werden, um eine neue Policy zu erzeugen. Beispiel: nur die letzten 500 Zeilen aus dem Logfile mit avc denied Meldungen berücksichtigen:

tail -n 500 /var/log/messages|audit2allow -M mymodule
semodule -i mymodule.pp

Achtung: keine Modulnamen benutzen, die schon existieren (s.o.) Diese Prozedur muss evtl. so lange wiederholt werden, bis keine Fehlermeldungen mehr kommen. Es gibt aber auch avc denied Meldungen, die keine Funktionseinschränkungen bewirken.

Beispiel: Mar 15 18:47:36 bonnie-vm2 kernel: audit(1237139256.559:6364): avc: denied { getattr } for pid=21887 comm="postdrop" path="pipe:[21412767]" dev=pipefs ino=21412767 scontext=root:system_r:postfix_postdrop_t:s0 tcontext=root:syste m_r:httpd_t:s0 tclass=fifo_file

Diese Meldungen kann man mit ... unterdrücken.

(wird fortgesetzt)