SELinux et rsync

brunoL
Messages : 7
Inscription : 26 décembre 2013, 14:03

SELinux et rsync

Message par brunoL » 26 décembre 2013, 14:55

Bonjour et ... bonnes fêtes,

Après bien des pb j'ai réussi à faire tourner mon rsync avec SELinux enforcing. Mes questions concernent les modalités pour mettre en place tout cela proprement.

Tout d'abord pour déverrouiller SE il a fallu que j'ajoute 7 règles issues de :
tail -60 /var/log/audit/audit.log|audit2allow -M maRsyncx avec x de 1 à 7 (un après chaque traitement foiré)

Comment reprendre ces 7 règles maRsync1.te,..., maRsync7.te dans une seule maSuperRsync.te ?

Si je prends les 2 premières règles cela donne :

Code : Tout sélectionner

module maRsync1 1.0;

require {
	type rsync_t;
	type mnt_t;
	class sock_file getattr;
	class dir { write setattr };
}

#============= rsync_t ==============
#!!!! The source type 'rsync_t' can write to a 'dir' of the following types:
# rsync_tmp_t, cluster_conf_t

allow rsync_t mnt_t:dir { write setattr };
allow rsync_t mnt_t:sock_file getattr;

#_____________________________________
module maRsync2 1.0;

require {
	type rsync_t;
	type mnt_t;
	class dir { remove_name add_name };
}

#============= rsync_t ==============
allow rsync_t mnt_t:dir { remove_name add_name };

#_____________________________________
Suffit-il de mettre les (require et allow)à la suite ?
et comment générer la .pp à partir de la .te ?

Comme vous le remarquez je ne suis pas un spécialiste d'où ma question plus fondamentale :
Dans SELinux, existe une PS et des booléens concernant rsync. Je suis arrivé à mon bricolo décrit au-dessus après avoir bien merdé avec ces booléens. Aurais-je loupé une bonne façon d'instancier cette PS et ces booléens ?
Sinon ils servent à quoi ?

Merci pour votre aide.

Avatar de l’utilisateur
nouvo09
Messages : 1871
Inscription : 20 octobre 2009, 08:14
Localisation : Paris, France

Re: SELinux et rsync

Message par nouvo09 » 26 décembre 2013, 16:20

comment générer la .pp à partir de la .te
semodule -i my_module.te

et installe setroubleshoot, ça va beaucoup simplifier les choses.
C'est pas parce que c'est difficile qu'on ose pas,
c'est parce qu'on ose pas que c'est difficile !

brunoL
Messages : 7
Inscription : 26 décembre 2013, 14:03

Re: SELinux et rsync

Message par brunoL » 28 décembre 2013, 14:44

J'ai mis un moment à trouver qu'il s'agissait de setroubleshootd et pas setroubleshoot qui voulait m'installer gnome sur le nas.

Sauf erreur, il y a encore moins de doc sur ce soft que sur SEL (suis mauvaise langue parce SEL est plutôt bien documenté ... pour des spécialistes) :roll: quant à ajouter une couche sans doc je vais continuer sur SEL brut.

Pour la compile des ".te" je galère un peu. Pour pas tout casser et garder SEL opérationnel sur le nas je vais continuer ma découverte sur une machine virtuelle.

Merci nouvo9.

Je suis toujours très intéressé par toute info sur rsync dans SEL via la PS standard de centos 6 et ses booléens

Répondre