1 |
cam 09/02/26 00:18:25 |
2 |
|
3 |
Added: hb-selinux-faq.xml |
4 |
Log: |
5 |
Sync 1.4 |
6 |
|
7 |
Revision Changes Path |
8 |
1.1 xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml |
9 |
|
10 |
file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml?rev=1.1&view=markup |
11 |
plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml?rev=1.1&content-type=text/plain |
12 |
|
13 |
Index: hb-selinux-faq.xml |
14 |
=================================================================== |
15 |
<?xml version="1.0" encoding="utf-8"?> |
16 |
<!DOCTYPE sections SYSTEM "/dtd/book.dtd"> |
17 |
|
18 |
<!-- The content of this document is licensed under the CC-BY-SA license --> |
19 |
<!-- See http://creativecommons.org/licenses/by-sa/1.0 --> |
20 |
|
21 |
<!-- Le contenu de ce document est sous licence CC-BY-SA. --> |
22 |
<!-- Voir http://creativecommons.org/licenses/by-sa/1.0/deed.fr --> |
23 |
|
24 |
<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml,v 1.1 2009/02/26 00:18:25 cam Exp $ --> |
25 |
|
26 |
<sections> |
27 |
<version>1.3</version> |
28 |
<date>2006-05-01</date> |
29 |
|
30 |
<section> |
31 |
<title>Limites de SELinux</title> |
32 |
<subsection> |
33 |
<title>Est-ce que SELinux permet de limiter les ressources |
34 |
systèmes ?</title> |
35 |
<body> |
36 |
|
37 |
<p> |
38 |
Non, la limitation de ressource n'est pas dans le domaine d'un système de contrôle d'accès. Si vous cherchez ce type de fonctionnalités, orientez-vous plutôt vers GRSecurity et RSBAC. |
39 |
</p> |
40 |
|
41 |
</body> |
42 |
</subsection> |
43 |
</section> |
44 |
|
45 |
<section> |
46 |
<title>SELinux et les autres projets Hardened</title> |
47 |
<subsection> |
48 |
<title>Puis-je utiliser SELinux et GRSecurity (et PaX) ?</title> |
49 |
<body> |
50 |
|
51 |
<p> |
52 |
Oui, SELinux peut être utilisé avec GRSecurity et/ou PaX sans problème. Par |
53 |
contre, nous vous suggérons de ne pas utiliser GRACL puisqu'il serait redondant |
54 |
avec le contrôle d'accès de SELinux. |
55 |
</p> |
56 |
|
57 |
</body> |
58 |
</subsection> |
59 |
<subsection> |
60 |
<title>Puis-je utiliser SELinux avec le compilateur Hardened |
61 |
(PIE-SSP) ?</title> |
62 |
<body> |
63 |
|
64 |
<p> |
65 |
Oui. De plus, nous vous recommandons d'utiliser PaX pour tirer profit au |
66 |
maximum des fonctionnalités PIE du compilateur. |
67 |
</p> |
68 |
|
69 |
</body> |
70 |
</subsection> |
71 |
<subsection> |
72 |
<title>Puis-je utiliser SELinux avec RSBAC ?</title> |
73 |
<body> |
74 |
|
75 |
<p> |
76 |
Aucune idée. Tenez-nous au courant si vous essayez... |
77 |
</p> |
78 |
|
79 |
</body> |
80 |
</subsection> |
81 |
</section> |
82 |
|
83 |
<section> |
84 |
<title>SELinux et les systèmes de fichiers</title> |
85 |
<subsection> |
86 |
<title>Puis-je utiliser SELinux sur mon système de fichiers ?</title> |
87 |
<body> |
88 |
|
89 |
<p> |
90 |
SELinux est utilisable sur de l'ext2, ext3, JFS et XFS. Reiserfs (reiser3) |
91 |
dispose des attributs étendus mais l'implémentation n'a jamais été terminée et |
92 |
ne fonctionne plus depuis 2.6.14. Reiser4 n'est pas supporté. |
93 |
</p> |
94 |
|
95 |
</body> |
96 |
</subsection> |
97 |
<subsection> |
98 |
<title>Et sur les autres systèmes de fichiers ?</title> |
99 |
<body> |
100 |
|
101 |
<p> |
102 |
SELinux peut également monter les systèmes de fichiers annexes, tels que vfat |
103 |
et iso9660, mais avec une grosse restriction : tous les fichiers du montage |
104 |
auront le même type SELinux, puisque le système de fichiers ne supporte pas les |
105 |
attributs étendus. Tmpfs est le seul système de fichiers annexe à supporter les |
106 |
attributs étendus. |
107 |
</p> |
108 |
|
109 |
</body> |
110 |
</subsection> |
111 |
<subsection> |
112 |
<title>Puis-je utiliser SELinux sur un montage réseau ?</title> |
113 |
<body> |
114 |
|
115 |
<p> |
116 |
Oui, SELinux peut monter les systèmes de fichiers en réseau, tels que NFS et |
117 |
CIFS, mais avec la même restriction : tous les fichiers du montage auront |
118 |
le même type SELinux, puisque le système de fichiers ne supporte pas les |
119 |
attributs étendus. Espérons que les systèmes de fichiers en réseau pourront |
120 |
gérer les attributs étendus dans un avenir proche. |
121 |
</p> |
122 |
|
123 |
</body> |
124 |
</subsection> |
125 |
</section> |
126 |
|
127 |
<section> |
128 |
<title>Messages d'erreur de Portage</title> |
129 |
<subsection> |
130 |
<title>emerge se plaint de ne pas trouver un module SELinux</title> |
131 |
<body> |
132 |
|
133 |
<pre caption="Message de Portage"> |
134 |
!!! SELinux module not found. Please verify that it was installed. |
135 |
</pre> |
136 |
|
137 |
<p> |
138 |
Ce message indique que le module SELinux pour Portage est manquant ou |
139 |
endommagé. Ce peut aussi être Python qui a été mis à jour vers une nouvelle |
140 |
version, ce qui nécessite la recompilation de python-selinux. Réinstallez |
141 |
dev-python/python-selinux. Si des paquets ont été installés avec cette erreur, |
142 |
ils doivent être ré-étiquetés une fois que le problème est résolu. En cas de |
143 |
doute sur les paquets à ré-étiqueter, ré-étiquetez tout. |
144 |
</p> |
145 |
|
146 |
</body> |
147 |
</subsection> |
148 |
</section> |
149 |
|
150 |
<section> |
151 |
<title>Messages d'erreur du noyau à propos de SELinux</title> |
152 |
<subsection> |
153 |
<title>Lors du démarrage, j'obtiens une erreur register_security</title> |
154 |
<body> |
155 |
|
156 |
<pre caption="Message du noyau"> |
157 |
There is already a security framework initialized, register_security failed. |
158 |
Failure registering capabilities with the kernel |
159 |
selinux_register_security: Registering secondary module capability |
160 |
Capability LSM initialized |
161 |
</pre> |
162 |
|
163 |
<p> |
164 |
Cela signifie que le module Capability LSM n'a pas pu s'enregistrer en tant que |
165 |
module principal, puisque SELinux l'est déjà. Le troisième message signifie |
166 |
qu'il s'est enregistré avec SELinux comme un module secondaire. C'est normal. |
167 |
</p> |
168 |
|
169 |
</body> |
170 |
</subsection> |
171 |
</section> |
172 |
|
173 |
<section> |
174 |
<title>Messages d'erreur de setfiles</title> |
175 |
<subsection> |
176 |
<title>Le ré-étiquetage échoue à cause d'un contexte invalide</title> |
177 |
<body> |
178 |
|
179 |
<pre caption="Exemple de contextes invalides"> |
180 |
# make relabel |
181 |
/usr/sbin/setfiles file_contexts/file_contexts `mount | awk '/(ext[23]| xfs).*rw/{print $3}'` |
182 |
/usr/sbin/setfiles: read 559 specifications |
183 |
/usr/sbin/setfiles: invalid context system_u:object_r:default_t on line number 39 |
184 |
/usr/sbin/setfiles: invalid context system_u:object_r:urandom_device_t on line number 120 |
185 |
/usr/sbin/setfiles: invalid context system_u:object_r:fonts_t on line number 377 |
186 |
/usr/sbin/setfiles: invalid context system_u:object_r:fonts_t on line number 378 |
187 |
/usr/sbin/setfiles: invalid context system_u:object_r:krb5_conf_t on line number 445 |
188 |
/usr/sbin/setfiles: invalid context system_u:object_r:system_cron_spool_t on line number 478 |
189 |
/usr/sbin/setfiles: invalid context system_u:object_r:system_cron_spool_t on line number 479 |
190 |
/usr/sbin/setfiles: invalid context system_u:object_r:system_cron_spool_t on line number 492 |
191 |
/usr/sbin/setfiles: invalid context system_u:object_r:system_cron_spool_t on line number 493 |
192 |
/usr/sbin/setfiles: invalid context system_u:object_r:system_cron_spool_t on line number 494 |
193 |
Exiting after 10 errors. |
194 |
make: *** [relabel] Error 1 |
195 |
</pre> |
196 |
|
197 |
<p> |
198 |
Commencez par vérifier que <path>/selinux</path> soit bien monté, car sinon |
199 |
setfiles ne peut pas valider de contexte et croira que tous les contextes sont |
200 |
invalides. Si <path>/selinux</path> est monté, alors il est probable qu'une |
201 |
nouvelle politique n'ait pas encore été chargée et donc les contextes ne soient |
202 |
pas encore valides. |
203 |
</p> |
204 |
|
205 |
</body> |
206 |
</subsection> |
207 |
</section> |
208 |
|
209 |
|
210 |
<!-- always keep this one as the bottom FAQ :) --> |
211 |
<!-- comment out since the demo machine is down for an indefinite period of time |
212 |
<section><title>Gentoo SELinux Demonstration Machine</title> |
213 |
<subsection><body> |
214 |
<p> |
215 |
This machine is not running user-mode linux, or in a chroot, it has SELinux |
216 |
mandatory access control. No, you cannot install psybnc or an irc bot on the |
217 |
machine, unless you break the SELinux security and gain higher priviledge. |
218 |
</p> |
219 |
</body></subsection> |
220 |
</section> |
221 |
--> |
222 |
<!-- dont put anything below here, this demo machine faq should be the last one --> |
223 |
</sections> |