[分享]selinux安装成功!高兴一下!

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
头像
蝴蝶兰
帖子: 202
注册时间: 2006-04-18 10:13
来自: china
送出感谢: 0
接收感谢: 0
联系:

[分享]selinux安装成功!高兴一下!

#1

帖子 蝴蝶兰 » 2006-05-12 22:51

先来看一下安装到最后的一段文字:
/usr/sbin/setfiles: labeling files under /
matchpathcon_filespec_add: conflicting specifications for /sbin/mkreiser4 and /sbin/mkfs.reiser4, using system_u:object_r:fsadm_exec_t.
matchpathcon_filespec_eval: hash table stats: 155224 elements, 41053/65536 buckets used, longest chain length 10
/usr/sbin/setfiles: labeling files under /boot
matchpathcon_filespec_eval: hash table stats: 26 elements, 26/65536 buckets used, longest chain length 1
/usr/sbin/setfiles: Done.
NB if you use an initrd you may need to recreate it before rebooting.
Press ENTER to continue

下面把我的安装过程粗略地写出来,供SElinux同好们共享!
我是用liveCD安装的ubuntu5.10,安装时的SElinux支持是关闭的。所以必须重新编译内核。
一不做,二不休,干脆下一个最新的!于是到www.kernel.org下载了一个2.6.16.15的包及补丁。解包到自己的/home/zzzzz目录下,打上补丁,sudo make oldconfig后再来sudo make menuconfig,这时注意一定要把CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1 CONFIG_AUDIT=y CONFIG_AUDITSYSCALL=y设置上,
(我用的是conexant芯片的usb adsl猫,所以没忘把CONFIG_USB_ATM=m CONFIG_USB_CXACRU=m也设上)
然后meke,好漫长哟!再make modules_install,make install,然后
sudo mkinitramfs -o /boot/initrd.img-2.6.16.15 /lib/modules/2.6.16.15/
还得编辑/boot/grub/menu.lst,好了,重启至新内核吧!
再看一下我的安装Shell,那些.deb都是从dapper下载的。
#!/bin/bash
apt-get install m4 || exit 1
dpkg -i selinux-doc_1.24-1_all.deb || exit 1
dpkg -i libsepol1_1.10-1_i386.deb || exit 1
dpkg -i libsepol1-dev_1.10-1_i386.deb || exit 1
dpkg -i libselinux1_1.28-2ubuntu2_i386.deb || exit 1
dpkg -i libselinux1-dev_1.28-2ubuntu2_i386.deb || exit 1
dpkg -i selinux-utils_1.28-2ubuntu2_i386.deb || exit 1
dpkg -i libsemanage1_1.4-3_i386.deb
dpkg -i libsemanage1-dev_1.4-3_i386.deb
dpkg -i python2.4-semanage_1.4-3_i386.deb
dpkg -i python2.4-selinux_1.28-2ubuntu2_i386.deb
dpkg -i policycoreutils_1.28-3_i386.deb
dpkg -i cron_3.0pl1-92ubuntu1_i386.deb
dpkg -i logrotate_3.7.1-2_i386.deb
dpkg -i sysv-rc_2.86.ds1-6ubuntu26_all.deb
dpkg -i sysvinit_2.86.ds1-6ubuntu26_i386.deb
dpkg -i checkpolicy_1.28-1_i386.deb
dpkg -i libpam-modules_0.79-3ubuntu12_i386.deb || exit 1
dpkg -i sepol-utils_1.10-1_i386.deb || exit 1
dpkg -i selinux-policy-default_1.26-7_all.deb || exit 1
echo "安装Selinux成功!"

到了装selinux-policy-default时会很讨厌,会有很多的[Y/n/d],你尽管地选Y吧,没坏处
安装成功后执行一下下面的命令:
$ sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: enforcing
Policy version: 20
Policy from config file: .

:D

其实也挺简单的,关键是要内核的支持。
fuqiang
帖子: 73
注册时间: 2006-05-12 13:15
来自: 哈尔滨
送出感谢: 0
接收感谢: 0
联系:

#2

帖子 fuqiang » 2006-05-14 10:21

SElinux是构建LINUX安全体系的重要方法
头像
蝴蝶兰
帖子: 202
注册时间: 2006-04-18 10:13
来自: china
送出感谢: 0
接收感谢: 0
联系:

#3

帖子 蝴蝶兰 » 2006-06-11 17:16

现在用上了6.06,个人感觉比5.10好了太多!我一直有一个疑问,难道不重新编译内核就不能安装并使用SELINUX了吗?
回避问题 = 曲线救国 = 棒槌
头像
蝴蝶兰
帖子: 202
注册时间: 2006-04-18 10:13
来自: china
送出感谢: 0
接收感谢: 0
联系:

检讨一下,免得误导他人?

#4

帖子 蝴蝶兰 » 2006-06-12 21:53

我原先认为在ubuntu5.10或6.06下要想安装SElinux需要重新编译内核的想法是错误的。
先来看一下/boot/config-2.6.15-23-386文件中的关于SElinux的几个参数:
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0
CONFIG_SECURITY_SELINUX_DISABLE=y
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1

我一直以为CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0这个参数是不恰当的,应该为1,其实不然。
其实只要把/boot/grub/menu.lst文件中的
kernel /vmlinuz-2.6.15-23-386 root=/dev/hda8 ro single这一行改为:
kernel /vmlinuz-2.6.15-23-386 root=/dev/hda8 ro single selinux=1 enforcing=0就可以打开对SElinux的支持。
但是CONFIG_AUDITSYSCALL这个参数没有设置,不知道安装上SElinux启用之后会不会有影响。
回避问题 = 曲线救国 = 棒槌
头像
蝴蝶兰
帖子: 202
注册时间: 2006-04-18 10:13
来自: china
送出感谢: 0
接收感谢: 0
联系:

#5

帖子 蝴蝶兰 » 2006-06-19 9:22

不重新编译内核是有问题.安装完毕SELINUX后重启之后一直无法激活.
回避问题 = 曲线救国 = 棒槌
头像
蝴蝶兰
帖子: 202
注册时间: 2006-04-18 10:13
来自: china
送出感谢: 0
接收感谢: 0
联系:

#6

帖子 蝴蝶兰 » 2006-10-12 15:48

现在我有结论了,不是内核的问题,而是sysvinit中没有打selinux的补丁.
回避问题 = 曲线救国 = 棒槌
回复

回到 “服务器基础应用”