Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tech:notes_selinux [2025/10/02 20:24] – Jean-Baptiste
+++ tech:notes_selinux [2025/12/15 12:47] (Version actuelle) – Jean-Baptiste
@@ Ligne 15: / Ligne 15: @@
 * Ansible https://docs.ansible.com/ansible/2.9/modules/list_of_system_modules.html
 * https://web.archive.org/web/20170326131853/http://www.lurking-grue.org/writingselinuxpolicyHOWTO.html
+* setroubleshootd
+* system-config-selinux
@@ Ligne 142: / Ligne 145: @@
 Voir : https://ansible.readthedocs.io/projects/awx/en/24.6.1/administration/instances.html
+=== Autres
+Checking /etc/selinux/targeted/contexts/files/file_contexts, I found out which additional selinux contexts I had to add to the newly created directories:
+<code bash>
+sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay(/.*)?'
+sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay2(/.*)?'
+sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay2-images(/.*)?'
+sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay2-layers(/.*)?'
+sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay-layers(/.*)?'
+sudo semanage fcontext --add --type container_ro_file_t '/var/lib/containers/user/[^/]+/storage/overlay-images(/.*)?'
+sudo semanage fcontext --add --type container_file_t    '/var/lib/containers/user/[^/]+/storage/volumes/[^/]*/.*
+</code>
+then, reapply them to the system:
+<code bash>
+sudo restorecon -RvF /var/lib/containers/user
+</code>
+Voir https://kcore.org/2023/12/13/adventures-with-rootless-containers/
@@ Ligne 150: / Ligne 174: @@
+<code ->
+Dec 11 18:23:34 srv1 setroubleshoot[13728]: SELinux interdit à bash d'utiliser l'accès read
+sur le fichier /usr/lib/x86_64-linux-gnu/libc.so.6.
+Pour des messages SELinux exhaustifs, lancez sealert -l 4c092563-ff9e-461c-a202-f8b30a83315f
+Dec 11 18:23:34 srv1 setroubleshoot[13728]: SELinux interdit à bash d'utiliser l'accès read
+sur le fichier /usr/lib/x86_64-linux-gnu/libc.so.6.
+*****  Le greffon restorecon (54.2 de confiance) suggère   *******************
+Si vous souhaitez corriger l'étiquette.  L'étiquette par défaut de /usr/lib/x86_64-linux-gnu/libc.so.6 devrait être lib_t.
+Alors vous pouvez lancer restorecon. La tentative d’accès pourrait avoir été stoppée due à des permissions insuffisantes d’accès au dossier parent,
+auquel cas essayez de changer la commande suivante en conséquence.
+Faire # /sbin/restorecon -v /usr/lib/x86_64-linux-gnu/libc.so.6
+*****  Le greffon file (16.6 de confiance) suggère   *************************
+Ceci est dû à la création d'un nouveau système de fichiers.
+Alors vous devez y ajouter des étiquettes.
+Faire /sbin/restorecon -R -v /usr/lib/x86_64-linux-gnu/libc.so.6
+*****  Le greffon file (16.6 de confiance) suggère   *************************
+Si vous pensez que ceci est dû à une machine mal étiquetée. Alors vous devez complètement ré-étiqueter.
+Faire touch /.autorelabel; reboot
+*****  Le greffon catchall_labels (3.18 de confiance) suggère   **************
+Si vous souhaitez autoriser bash à accéder à read sur libc.so.6 file
+Alors l'étiquette sur /usr/lib/x86_64-linux-gnu/libc.so.6 doit être modifiée Faire
+# semanage fcontext -a -t FILE_TYPE '/usr/lib/x86_64-linux-gnu/libc.so.6'
+</code>