AdminSysGNULinux

Outils pour utilisateurs

Outils du site

Piste : audit_modification_droits_systeme_de_fichier_avec_auditd podman_nfs_rootless notes_dolibarr table_caractere_speciaux_unicode_utf8 docker_volume_storage notes_-_chromebook notes_nsclient_nagios_windows notes_supervision_nagios docker_image_build
tech:notes_selinux

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
tech:notes_selinux [2025/03/24 15:06] – créée - modification externe 127.0.0.1tech:notes_selinux [2025/12/15 12:47] (Version actuelle) Jean-Baptiste
Ligne 13: Ligne 13:
 * SEtroubleshoot * SEtroubleshoot
 * https://github.com/centreon/centreon-plugins/tree/develop/selinux * https://github.com/centreon/centreon-plugins/tree/develop/selinux
 +* Ansible https://docs.ansible.com/ansible/2.9/modules/list_of_system_modules.html
 +* https://web.archive.org/web/20170326131853/http://www.lurking-grue.org/writingselinuxpolicyHOWTO.html
 +* setroubleshootd
 +* system-config-selinux
 +
  
  
Ligne 60: Ligne 65:
 Passez toujours en mode permissif avant d'entrer dans la commande fixfiles -F onboot. Cela permet d'éviter que le système ne démarre pas s'il contient des fichiers non étiquetés. Pour plus d'informations, voir [[https://bugzilla.redhat.com/show_bug.cgi?id=2021835|RHBZ#2021835]]. Passez toujours en mode permissif avant d'entrer dans la commande fixfiles -F onboot. Cela permet d'éviter que le système ne démarre pas s'il contient des fichiers non étiquetés. Pour plus d'informations, voir [[https://bugzilla.redhat.com/show_bug.cgi?id=2021835|RHBZ#2021835]].
  
 +Voir aussi ''/etc/selinux/restorecond.conf'' qui contient les chemins des fichiers à restaurer
  
  
Ligne 131: Ligne 136:
  
  
 +== Containers
 +
 +
 +
 +<code python>
 +DEFAULT_CONTAINER_RUN_OPTIONS = ['--network', 'slirp4netns:enable_ipv6=true', '--security-opt', 'label=disable']
 +</code>
 +
 +Voir : https://ansible.readthedocs.io/projects/awx/en/24.6.1/administration/instances.html
 +
 +
 +=== Autres
 +
 +Checking /etc/selinux/targeted/contexts/files/file_contexts, I found out which additional selinux contexts I had to add to the newly created directories:
 +<code bash>
 +sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay(/.*)?'
 +sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay2(/.*)?'
 +sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay2-images(/.*)?'
 +sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay2-layers(/.*)?'
 +sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay-layers(/.*)?'
 +sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay-images(/.*)?'
 +sudo semanage fcontext --add --type container_file_t    '/var/lib/containers/user/[^/]+/storage/volumes/[^/]*/.*
 +</code>
 +
 +then, reapply them to the system:
 +<code bash>
 +sudo restorecon -RvF /var/lib/containers/user
 +</code>
 +
 +Voir https://kcore.org/2023/12/13/adventures-with-rootless-containers/
 +
 +
 +== Autres
 +
 +Voir :
 + * sealert
 +
 +
 +<code ->
 +Dec 11 18:23:34 srv1 setroubleshoot[13728]: SELinux interdit à bash d'utiliser l'accès read 
 +sur le fichier /usr/lib/x86_64-linux-gnu/libc.so.6. 
 +Pour des messages SELinux exhaustifs, lancez sealert -l 4c092563-ff9e-461c-a202-f8b30a83315f
 +Dec 11 18:23:34 srv1 setroubleshoot[13728]: SELinux interdit à bash d'utiliser l'accès read 
 +sur le fichier /usr/lib/x86_64-linux-gnu/libc.so.6.
 +*****  Le greffon restorecon (54.2 de confiance) suggère   *******************
 +Si vous souhaitez corriger l'étiquette.  L'étiquette par défaut de /usr/lib/x86_64-linux-gnu/libc.so.6 devrait être lib_t.
 +Alors vous pouvez lancer restorecon. La tentative d’accès pourrait avoir été stoppée due à des permissions insuffisantes d’accès au dossier parent, 
 +auquel cas essayez de changer la commande suivante en conséquence.
 +Faire # /sbin/restorecon -v /usr/lib/x86_64-linux-gnu/libc.so.6
 +*****  Le greffon file (16.6 de confiance) suggère   *************************
 +Ceci est dû à la création d'un nouveau système de fichiers. 
 +Alors vous devez y ajouter des étiquettes.
 +Faire /sbin/restorecon -R -v /usr/lib/x86_64-linux-gnu/libc.so.6
 +*****  Le greffon file (16.6 de confiance) suggère   *************************
 +Si vous pensez que ceci est dû à une machine mal étiquetée. Alors vous devez complètement ré-étiqueter.
 +Faire touch /.autorelabel; reboot
 +*****  Le greffon catchall_labels (3.18 de confiance) suggère   **************
 +Si vous souhaitez autoriser bash à accéder à read sur libc.so.6 file
 +Alors l'étiquette sur /usr/lib/x86_64-linux-gnu/libc.so.6 doit être modifiée Faire                             
 +# semanage fcontext -a -t FILE_TYPE '/usr/lib/x86_64-linux-gnu/libc.so.6'
 +</code>
  
tech/notes_selinux.1742825205.txt.gz · Dernière modification : de 127.0.0.1
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki