今日も gentoo with selinux
gentoo-hardened の stage3 を使って、且つ hardened profile を有効化して gentoo 立ち上げるのは慣れてきましたw
# eselect profile list Available profile symlink targets: [1] default/linux/amd64/13.0 [2] default/linux/amd64/13.0/selinux [3] default/linux/amd64/13.0/desktop [4] default/linux/amd64/13.0/desktop/gnome [5] default/linux/amd64/13.0/desktop/gnome/systemd [6] default/linux/amd64/13.0/desktop/plasma [7] default/linux/amd64/13.0/desktop/plasma/systemd [8] default/linux/amd64/13.0/developer [9] default/linux/amd64/13.0/no-multilib [10] default/linux/amd64/13.0/systemd [11] default/linux/amd64/13.0/x32 [12] hardened/linux/amd64 [13] hardened/linux/amd64/selinux [14] hardened/linux/amd64/no-multilib [15] hardened/linux/amd64/no-multilib/selinux * [16] hardened/linux/amd64/x32 [17] hardened/linux/musl/amd64 [18] hardened/linux/musl/amd64/x32 [19] default/linux/uclibc/amd64 [20] hardened/linux/uclibc/amd64 # sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: strict Current mode: permissive Mode from config file: permissive Policy MLS status: disabled Policy deny_unknown status: denied Max kernel policy version: 30
で。まだ permissive
なのでこれを enforcing
に移行すべく色々やってます……
`SELINUX=enforcing` にしたい
とりあえず boot 時の avc: denied
を潰してしまいたいのですが……
setsebool -R tmpfiles_manage_all_non_security on setsebool -R allow_mount_anyfile on
audit2allow -d
の言うとおりにこの辺の boolean を on にしていくと、どんどん selinux の恩恵が薄れていくような気が……w
そして結局
そしてそこまでやっても結局 policy をいじらないとダメっぽい模様……
# audit2allow -d #============= initrc_t ============== allow initrc_t etc_t:lnk_file { create unlink }; #============= mount_t ============== allow mount_t mount_runtime_t:dir remove_name; allow mount_t mount_runtime_t:file { rename setattr unlink };
前者 initrc_t は /etc/mtab -> /proc/self/mounts
1) をさわりに行った時、後者はどうやら /usr/portage
を nfs で mount しに行った時に引っかかっている模様。
……しばらくハマっときますかw
1)
いつから symlink になってるんだこいつは……