{{tag>selinux gentoo linux}} # 今日も gentoo with selinux gentoo-hardened の stage3 を使って、且つ hardened profile を有効化して gentoo 立ち上げるのは慣れてきましたw ``` # eselect profile list Available profile symlink targets: [1] default/linux/amd64/13.0 [2] default/linux/amd64/13.0/selinux [3] default/linux/amd64/13.0/desktop [4] default/linux/amd64/13.0/desktop/gnome [5] default/linux/amd64/13.0/desktop/gnome/systemd [6] default/linux/amd64/13.0/desktop/plasma [7] default/linux/amd64/13.0/desktop/plasma/systemd [8] default/linux/amd64/13.0/developer [9] default/linux/amd64/13.0/no-multilib [10] default/linux/amd64/13.0/systemd [11] default/linux/amd64/13.0/x32 [12] hardened/linux/amd64 [13] hardened/linux/amd64/selinux [14] hardened/linux/amd64/no-multilib [15] hardened/linux/amd64/no-multilib/selinux * [16] hardened/linux/amd64/x32 [17] hardened/linux/musl/amd64 [18] hardened/linux/musl/amd64/x32 [19] default/linux/uclibc/amd64 [20] hardened/linux/uclibc/amd64 # sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: strict Current mode: permissive Mode from config file: permissive Policy MLS status: disabled Policy deny_unknown status: denied Max kernel policy version: 30 ``` で。まだ `permissive` なのでこれを `enforcing` に移行すべく色々やってます…… ## `SELINUX=enforcing` にしたい とりあえず boot 時の `avc: denied` を潰してしまいたいのですが…… ``` setsebool -R tmpfiles_manage_all_non_security on setsebool -R allow_mount_anyfile on ``` `audit2allow -d` の言うとおりにこの辺の boolean を on にしていくと、どんどん selinux の恩恵が薄れていくような気が……w ## そして結局 そしてそこまでやっても結局 policy をいじらないとダメっぽい模様…… ``` # audit2allow -d #============= initrc_t ============== allow initrc_t etc_t:lnk_file { create unlink }; #============= mount_t ============== allow mount_t mount_runtime_t:dir remove_name; allow mount_t mount_runtime_t:file { rename setattr unlink }; ``` 前者 initrc_t は `/etc/mtab -> /proc/self/mounts`((いつから symlink になってるんだこいつは……)) をさわりに行った時、後者はどうやら `/usr/portage` を nfs で mount しに行った時に引っかかっている模様。 ……しばらくハマっときますかw