Sltodo: различия между версиями
Stanv (обсуждение | вклад) Нет описания правки |
Нет описания правки |
||
(не показаны 2 промежуточные версии 1 участника) | |||
Строка 9: | Строка 9: | ||
* utempter, речь идет о: Utempter is a utility that allows terminal applications such as xterm and screen to update utmp and wtmp without requiring root privileges. И получаем: avc: denied { write } for pid=12871 comm="utempter" name="utmp" dev="tmpfs" ino=1163 scontext=generic_u:generic_r:generic_t:s3:c3.c5-s3:c2.c14 tcontext=generic_u:object_r:def_t:s0 tclass=file | * utempter, речь идет о: Utempter is a utility that allows terminal applications such as xterm and screen to update utmp and wtmp without requiring root privileges. И получаем: avc: denied { write } for pid=12871 comm="utempter" name="utmp" dev="tmpfs" ino=1163 scontext=generic_u:generic_r:generic_t:s3:c3.c5-s3:c2.c14 tcontext=generic_u:object_r:def_t:s0 tclass=file | ||
* При построении базы kbuildsycoca4, не может записать файл: mimeapps.list Инфо: avc: denied { write } for pid=15565 comm="kbuildsycoca4" name="mimeapps.list" dev="sda2" ino=3146174 scontext=generic_u:generic_r:generic_t:s3:c5,c7-s3:c2.c14 tcontext=generic_u:object_r:def_t:s0 tclass=file | * При построении базы kbuildsycoca4, не может записать файл: mimeapps.list Инфо: avc: denied { write } for pid=15565 comm="kbuildsycoca4" name="mimeapps.list" dev="sda2" ino=3146174 scontext=generic_u:generic_r:generic_t:s3:c5,c7-s3:c2.c14 tcontext=generic_u:object_r:def_t:s0 tclass=file | ||
* seinfo -t поудалять ненужные типы | |||
* НЕ РАБОТАЕТ: semanage fcontext -a -t httpd_sys_content_t --ftype -- "/var/www/sub1(/.*)?" | |||
[[Категория:Features]] | [[Категория:Features]] | ||
{{Category navigation|title=Features|category=Features|sortkey={{SUBPAGENAME}}}} | {{Category navigation|title=Features|category=Features|sortkey={{SUBPAGENAME}}}} |
Текущая версия от 21:34, 1 июля 2015
SeLinux TODO
- Запретить root обновлять систему, если у него нету контекста officer_t. Или наоборот: разрешить устанавливать RPM только из контекста officer_t. Иначе есть высокий шанс запороть систему.
- настроить policycoreutils-restorecond, описать его работу
- доработать plymouth чтобы при relabeling файловой системы показывался ход процесса с бегунком.
- Припустим пользователь перешел на уровень s7. После чего взял права root (su -). Для root наследуется пользовательский контекст безопасности. Тогда он может безвозратно запороть систему в permissive.
- Проверить работу hasher
- KDE4. Припустим пользователь запустил dolphin на неком уровне. Потом установил в seapplet другой уровень. Вопрос: dolphin будет запускать приложения (например для редактирования файлов), на каком уровне? На своем текущем, или согласно выставленному в seapplet ?
- utempter, речь идет о: Utempter is a utility that allows terminal applications such as xterm and screen to update utmp and wtmp without requiring root privileges. И получаем: avc: denied { write } for pid=12871 comm="utempter" name="utmp" dev="tmpfs" ino=1163 scontext=generic_u:generic_r:generic_t:s3:c3.c5-s3:c2.c14 tcontext=generic_u:object_r:def_t:s0 tclass=file
- При построении базы kbuildsycoca4, не может записать файл: mimeapps.list Инфо: avc: denied { write } for pid=15565 comm="kbuildsycoca4" name="mimeapps.list" dev="sda2" ino=3146174 scontext=generic_u:generic_r:generic_t:s3:c5,c7-s3:c2.c14 tcontext=generic_u:object_r:def_t:s0 tclass=file
- seinfo -t поудалять ненужные типы
- НЕ РАБОТАЕТ: semanage fcontext -a -t httpd_sys_content_t --ftype -- "/var/www/sub1(/.*)?"