Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] selinux

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Chronologique Discussions  
  • From: Vincent RAIMBOUX <adresse@cachée>
  • To: adresse@cachée
  • Subject: Re: [sympa-fr] selinux
  • Date: Tue, 7 Mar 2017 09:06:32 +0100 (CET)

Bonjour,
Merci Lionel pour le tuyau. Jusqu'ici j'exploitais directement les messages avc dans l'audit.log. Mais c'est laborieux. Cet outil m'a l'air très pratique.
Avez-vous modifié le contexte des dossiers/fichiers d'installation de sympa?



Vincent Raimboux
Centre de Ressources Informatiques
 _________________________________________

 UTT - U
niversité de Technologie de Troyes
 12 rue Marie Curie - CS 42060 - 10004 TROYES CEDEX
 Tél. : (33) 03 25 71 76 00 | Fax : (33) 03 25 71 76 76
 


De: "lionel gadille" <adresse@cachée>
À: adresse@cachée
Envoyé: Lundi 6 Mars 2017 14:25:27
Objet: Re: [sympa-fr] selinux

Bonjour

Pour ce faire il faut installer

setroubleshoot-server

ensuite on peut voir ce qui est bloqué
sealert -a /var/log/audit/audit.log
ce qui permet d'avoir des messages de ce style
***** Plugin connect_ports (85.9 confidence) suggests *********************
If you want to allow /usr/sbin/httpd to connect to network port 8086
Then you need to modify the port type.
Do
# semanage port -a -t PORT_TYPE -p tcp 8086
où PORT_TYPE est l'une des valeurs suivantes : dns_port_t, dnssec_port_t, http_port_t, kerberos_port_t, ocsp_port_t.
---> ici un apache qui veut joindre un jetty sur le port 8086

sa proposition est adéquate
semanage port -a -t PORT_TYPE -p tcp 8086
autorise le tcp vers le port 8086

sa indique aussi pour les protections fichier
SELinux is preventing /usr/sbin/sshd from read access on the fichier authorized_keys.

***** Plugin restorecon (99.5 confiance) suggéré*****************************

Si you want to fix the label.
/var/lib/pgsql/.ssh/authorized_keys default label should be ssh_home_t.
Alors you can run restorecon.
Faire
# /sbin/restorecon -v /var/lib/pgsql/.ssh/authorized_keys


bref l'outils nous guide pour régler les autorisations

Pour ce qui est de la nsa si vous utilisez du sisco ou autre hardware ricains
Je ne vois pas en quoi selinux fais courir plus de risque

Oui la sécurité est forcement amélioré puisque selinux bloque tous dialogue même interne y comprit l’accès au fichier
par exemple mon ssh qui ne pouvez pas lire la clef car elle n’étais pas dans le .ssh

Donc que ce soit dans le privé ou le public j'ai toujours fais marché selinux sur met serveur

lionel




Le 05/03/2017 à 18:40, Guillaume Tournat a écrit :
adresse@cachée">
Le 02/03/2017 à 11:36, Vincent RAIMBOUX a écrit :
adresse@cachée">
Bonjour,
Est-ce que quelqu'un fait tourner sympa avec selinux en mode enforcing?
J'aimerais beaucoup échanger sur le sujet.
Merci

j'aurai du poster ca vendredi, mais bon... c'est plus fort que moi :-)
  est-ce que quelqu'un a réussi à faire tourner quoi que ce soit avec SElinux ?
  est-ce que quelqu'un a confiance dans ce module développé par la NSA ?
  est-ce que SElinux améliore vraiment la sécurité du système Linux ?

gu!llaume

-- 
Lionel Gadille, Ingénieur Service Informatique
Grenoble INP - Ensimag, bureau E208
681 rue de la Passerelle
BP 72, 38402 Saint Martin d'Hères CEDEX
Tél.: +33 (0)4 76 82 72 47




Archives gérées par MHonArc 2.6.19+.

Haut de le page