ubuntu下的SELinux配置

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
kiddyliu
帖子: 10
注册时间: 2006-08-21 19:38
送出感谢: 0
接收感谢: 0
联系:

ubuntu下的SELinux配置

#1

帖子 kiddyliu » 2006-08-23 15:35

我用的是ubuntu6.06(dapper,内核2.6.15-26-server),昨天重新编译了一个新内核(2.6.16.2)将SELinux 编译到内核,成功编译后重启进入新内核,发现/下没有selinux文件夹,如何判断SELinux安装成功?我查看了一下/boot/config- 2.6.16.2,有关selinux参数的配置如下:
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1
CONFIG_SECURITY_SELINUX_DISABLE=y
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1

CONFIG_AUDIT=y
# CONFIG_AUDITSYSCALL is not set
是不是因为CONFIG_SECURITY_SELINUX_DISABLE=y ?另外我还没有为SELinux配置策略,如何配置?
谢谢!
头像
蝴蝶兰
帖子: 202
注册时间: 2006-04-18 10:13
来自: china
送出感谢: 0
接收感谢: 0
联系:

欢迎对SElinux感兴趣的朋友一起加入讨论!

#2

帖子 蝴蝶兰 » 2006-08-23 21:48

成功编译内核之后也仅是打开了系统对SeLinux的支持,/selinux是当支持SELINUX的系统成功加载相关策略之后挂载的类型为selinuxfs的文件系统。你还需要安装selinux相关的软件包。
2.6.15-26-server内核对Selinux的支持难道没有默认打开?
CONFIG_AUDITSYSCALL这个参数也得打开。

关于配置或者修改SElinux策略,去年我在linuxfans上有关于selinux与mysql的贴子,我在那里叫大冒牌货,或许楼主能得到些启发。
回避问题 = 曲线救国 = 棒槌
kiddyliu
帖子: 10
注册时间: 2006-08-21 19:38
送出感谢: 0
接收感谢: 0
联系:

#3

帖子 kiddyliu » 2006-08-24 9:34

谢谢
kiddyliu
帖子: 10
注册时间: 2006-08-21 19:38
送出感谢: 0
接收感谢: 0
联系:

#4

帖子 kiddyliu » 2006-08-24 10:15

重新编译了一个内核相关设置如下
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1
# CONFIG_SECURITY_SELINUX_DISABLE is not set
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1

CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
这下没错了吧
如何配置策略,是下载安装吗?搜了一下网上没找到 selinux-policy-default
谢谢
头像
蝴蝶兰
帖子: 202
注册时间: 2006-04-18 10:13
来自: china
送出感谢: 0
接收感谢: 0
联系:

#5

帖子 蝴蝶兰 » 2006-08-24 11:54

回避问题 = 曲线救国 = 棒槌
kiddyliu
帖子: 10
注册时间: 2006-08-21 19:38
送出感谢: 0
接收感谢: 0
联系:

#6

帖子 kiddyliu » 2006-08-24 15:09

都装上了,/boot下新内核的配置文件 config-2.6.16.2中有关SELINUX的参数设置如下
CONFIG_SECURITY_SELINUX=y
CONFIG_SECURITY_SELINUX_BOOTPARAM=y
CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=1
# CONFIG_SECURITY_SELINUX_DISABLE is not set
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1

CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
/boot/grub/menu.lst中新内核中kernel那一行为:

kernel /boot/vmlinuz-2.6.16.2 root=/dev/hda3 ro selinux=1 enforcing=0

进入新内核以后
$sestatus
SELinux status: disabled
怎么回事?
kiddyliu
帖子: 10
注册时间: 2006-08-21 19:38
送出感谢: 0
接收感谢: 0
联系:

#7

帖子 kiddyliu » 2006-08-24 15:17

我把kernel /boot/vmlinuz-2.6.16.2 root=/dev/hda3 ro selinux=1 enforcing=0
改为kernel /boot/vmlinuz-2.6.16.2 root=/dev/hda3 ro selinux=1 enforcing=1
还是
$sestatus
SELinux status: disabled
痛苦中,蝴蝶兄,帮帮忙
谢谢
头像
蝴蝶兰
帖子: 202
注册时间: 2006-04-18 10:13
来自: china
送出感谢: 0
接收感谢: 0
联系:

#8

帖子 蝴蝶兰 » 2006-08-24 22:33

内核没问题的话menu.lst中是不必传递参数的。你的selinux-policy-default安装成功了吗?那一大堆Y/n你都选了吗?之后它又输出了些什么?如果成功安装你马上执行sestatus了吗?
你下载的如果是打过ubuntu补丁的内核估计要出问题,下载kernel.org上的应该没问题。我是这么认为的。
你还是找些英文的资料来看看吧!在这里(包括国内的几个linux论坛)上发关于selinux的贴是要和我一样坐冷板凳地:(
回避问题 = 曲线救国 = 棒槌
kiddyliu
帖子: 10
注册时间: 2006-08-21 19:38
送出感谢: 0
接收感谢: 0
联系:

#9

帖子 kiddyliu » 2006-08-25 9:02

selinux-policy-default安装成功了,给出的提示和你在网上发帖的内容基本一样。不过我没有安装成功马上执行sestatus,因为它给我的提示是重启。昨天看了一堆英文资料,按照他们说的各种方法去enforce,setenforce.......都不行,我继续努力吧。在百度上搜了一把,中文网站搜出来的大多是有关selinux的提问(而且没有人回答:cry: ),要不就是介绍selinux是什么东西的文章。 www.nsa.gov又一直连不上cry: :cry:
谢谢你了 :
头像
蝴蝶兰
帖子: 202
注册时间: 2006-04-18 10:13
来自: china
送出感谢: 0
接收感谢: 0
联系:

#10

帖子 蝴蝶兰 » 2006-08-25 11:38

我要告诉你,你一个参数不正确.# CONFIG_SECURITY_SELINUX_DISABLE is not set
让它=y.
系统引导后加载selinux是由sysvinit来完成的.你看一看与其相关的东西吧!
回避问题 = 曲线救国 = 棒槌
kiddyliu
帖子: 10
注册时间: 2006-08-21 19:38
送出感谢: 0
接收感谢: 0
联系:

#11

帖子 kiddyliu » 2006-08-28 9:23

谢谢
头像
KOSKERS
帖子: 1439
注册时间: 2008-11-01 13:38
送出感谢: 25 次
接收感谢: 4 次

Re: ubuntu下的SELinux配置

#12

帖子 KOSKERS » 2009-05-31 18:14

蝴蝶兰
我在装好Selinux后,发现策略是Ubuntu?为什么?上文没提到阿??
koskers@koskers-desktop:/etc/selinux$ cat config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
# default - equivalent to the old strict and targeted policies
# mls - Multi-Level Security (for military and educational use)
# src - Custom policy built from source
SELINUXTYPE=ubuntu

# SETLOCALDEFS= Check local definition changes
SETLOCALDEFS=0
有用Telegram的吗?
欢迎加入公共群组:
https://t.me/joinchat/AAAAAApBLdk7AGFEeQo0fQ
回复

回到 “服务器基础应用”