[gentoo-commits] gentoo commit in xml/htdocs/proj/fr/hardened/selinux: hb-selinux-faq.xml - gentoo-commits

From:	"Camille Huot (cam)" <cam@g.o>
To:	gentoo-commits@l.g.o
Subject:	[gentoo-commits] gentoo commit in xml/htdocs/proj/fr/hardened/selinux: hb-selinux-faq.xml
Date:	Thu, 26 Feb 2009 00:18:28
Message-Id:	`E1LcTxJ-0004tz-O8@stork.gentoo.org`

1

cam         09/02/26 00:18:25

2

3

  Added:                hb-selinux-faq.xml

4

  Log:

5

  Sync 1.4

6

7

Revision  Changes    Path

8

1.1                  xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml

9

10

file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml?rev=1.1&view=markup

11

plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml?rev=1.1&content-type=text/plain

12

13

Index: hb-selinux-faq.xml

14

===================================================================

15

<?xml version="1.0" encoding="utf-8"?>

16

<!DOCTYPE sections SYSTEM "/dtd/book.dtd">

17

18

<!-- The content of this document is licensed under the CC-BY-SA license -->

19

<!-- See http://creativecommons.org/licenses/by-sa/1.0 -->

20

21

<!-- Le contenu de ce document est sous licence CC-BY-SA. -->

22

<!-- Voir http://creativecommons.org/licenses/by-sa/1.0/deed.fr -->

23

24

<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml,v 1.1 2009/02/26 00:18:25 cam Exp $ -->

25

26

<sections>

27

<version>1.3</version>

28

<date>2006-05-01</date>

29

30

<section>

31

<title>Limites de SELinux</title>

32

<subsection>

33

<title>Est-ce que SELinux permet de limiter les ressources

34

systèmes&nbsp;?</title>

35

<body>

36

37

<p>

38

Non, la limitation de ressource n'est pas dans le domaine d'un système de contrôle d'accès. Si vous cherchez ce type de fonctionnalités, orientez-vous plutôt vers GRSecurity et RSBAC.

39

</p>

40

41

</body>

42

</subsection>

43

</section>

44

45

<section>

46

<title>SELinux et les autres projets Hardened</title>

47

<subsection>

48

<title>Puis-je utiliser SELinux et GRSecurity (et PaX)&nbsp;?</title>

49

<body>

50

51

<p>

52

Oui, SELinux peut être utilisé avec GRSecurity et/ou PaX sans problème. Par

53

contre, nous vous suggérons de ne pas utiliser GRACL puisqu'il serait redondant

54

avec le contrôle d'accès de SELinux.

55

</p>

56

57

</body>

58

</subsection>

59

<subsection>

60

<title>Puis-je utiliser SELinux avec le compilateur Hardened

61

(PIE-SSP)&nbsp;?</title>

62

<body>

63

64

<p>

65

Oui. De plus, nous vous recommandons d'utiliser PaX pour tirer profit au

66

maximum des fonctionnalités PIE du compilateur.

67

</p>

68

69

</body>

70

</subsection>

71

<subsection>

72

<title>Puis-je utiliser SELinux avec RSBAC&nbsp;?</title>

73

<body>

74

75

<p>

76

Aucune idée. Tenez-nous au courant si vous essayez...

77

</p>

78

79

</body>

80

</subsection>

81

</section>

82

83

<section>

84

<title>SELinux et les systèmes de fichiers</title>

85

<subsection>

86

<title>Puis-je utiliser SELinux sur mon système de fichiers&nbsp;?</title>

87

<body>

88

89

<p>

90

SELinux est utilisable sur de l'ext2, ext3, JFS et XFS. Reiserfs (reiser3)

91

dispose des attributs étendus mais l'implémentation n'a jamais été terminée et

92

ne fonctionne plus depuis 2.6.14. Reiser4 n'est pas supporté.

93

</p>

94

95

</body>

96

</subsection>

97

<subsection>

98

<title>Et sur les autres systèmes de fichiers&nbsp;?</title>

99

<body>

100

101

<p>

102

SELinux peut également monter les systèmes de fichiers annexes, tels que vfat

103

et iso9660, mais avec une grosse restriction&nbsp;: tous les fichiers du montage

104

auront le même type SELinux, puisque le système de fichiers ne supporte pas les

105

attributs étendus. Tmpfs est le seul système de fichiers annexe à supporter les

106

attributs étendus.

107

</p>

108

109

</body>

110

</subsection>

111

<subsection>

112

<title>Puis-je utiliser SELinux sur un montage réseau&nbsp;?</title>

113

<body>

114

115

<p>

116

Oui, SELinux peut monter les systèmes de fichiers en réseau, tels que NFS et

117

CIFS, mais avec la même restriction&nbsp;: tous les fichiers du montage auront

118

le même type SELinux, puisque le système de fichiers ne supporte pas les

119

attributs étendus. Espérons que les systèmes de fichiers en réseau pourront

120

gérer les attributs étendus dans un avenir proche.

121

</p>

122

123

</body>

124

</subsection>

125

</section>

126

127

<section>

128

<title>Messages d'erreur de Portage</title>

129

<subsection>

130

<title>emerge se plaint de ne pas trouver un module SELinux</title>

131

<body>

132

133

<pre caption="Message de Portage">

134

!!! SELinux module not found. Please verify that it was installed.

135

</pre>

136

137

<p>

138

Ce message indique que le module SELinux pour Portage est manquant ou

139

endommagé. Ce peut aussi être Python qui a été mis à jour vers une nouvelle

140

version, ce qui nécessite la recompilation de python-selinux. Réinstallez

141

dev-python/python-selinux. Si des paquets ont été installés avec cette erreur,

142

ils doivent être ré-étiquetés une fois que le problème est résolu. En cas de

143

doute sur les paquets à ré-étiqueter, ré-étiquetez tout.

144

</p>

145

146

</body>

147

</subsection>

148

</section>

149

150

<section>

151

<title>Messages d'erreur du noyau à propos de SELinux</title>

152

<subsection>

153

<title>Lors du démarrage, j'obtiens une erreur register_security</title>

154

<body>

155

156

<pre caption="Message du noyau">

157

There is already a security framework initialized, register_security failed.

158

Failure registering capabilities with the kernel

159

selinux_register_security:  Registering secondary module capability

160

Capability LSM initialized

161

</pre>

162

163

<p>

164

Cela signifie que le module Capability LSM n'a pas pu s'enregistrer en tant que

165

module principal, puisque SELinux l'est déjà. Le troisième message signifie

166

qu'il s'est enregistré avec SELinux comme un module secondaire. C'est normal.

167

</p>

168

169

</body>

170

</subsection>

171

</section>

172

173

<section>

174

<title>Messages d'erreur de setfiles</title>

175

<subsection>

176

<title>Le ré-étiquetage échoue à cause d'un contexte invalide</title>

177

<body>

178

179

<pre caption="Exemple de contextes invalides">

180

# make relabel

181

/usr/sbin/setfiles file_contexts/file_contexts `mount | awk '/(ext[23]| xfs).*rw/{print $3}'`

182

/usr/sbin/setfiles:  read 559 specifications

183

/usr/sbin/setfiles:  invalid context system_u:object_r:default_t on line number 39

184

/usr/sbin/setfiles:  invalid context system_u:object_r:urandom_device_t on line number 120

185

/usr/sbin/setfiles:  invalid context system_u:object_r:fonts_t on line number 377

186

/usr/sbin/setfiles:  invalid context system_u:object_r:fonts_t on line number 378

187

/usr/sbin/setfiles:  invalid context system_u:object_r:krb5_conf_t on line number 445

188

/usr/sbin/setfiles:  invalid context system_u:object_r:system_cron_spool_t on line number 478

189

/usr/sbin/setfiles:  invalid context system_u:object_r:system_cron_spool_t on line number 479

190

/usr/sbin/setfiles:  invalid context system_u:object_r:system_cron_spool_t on line number 492

191

/usr/sbin/setfiles:  invalid context system_u:object_r:system_cron_spool_t on line number 493

192

/usr/sbin/setfiles:  invalid context system_u:object_r:system_cron_spool_t on line number 494

193

Exiting after 10 errors.

194

make: *** [relabel] Error 1

195

</pre>

196

197

<p>

198

Commencez par vérifier que <path>/selinux</path> soit bien monté, car sinon

199

setfiles ne peut pas valider de contexte et croira que tous les contextes sont

200

invalides. Si <path>/selinux</path> est monté, alors il est probable qu'une

201

nouvelle politique n'ait pas encore été chargée et donc les contextes ne soient

202

pas encore valides.

203

</p>

204

205

</body>

206

</subsection>

207

</section>

208

209

210

<!-- always keep this one as the bottom FAQ :) -->

211

<!-- comment out since the demo machine is down for an indefinite period of time

212

<section><title>Gentoo SELinux Demonstration Machine</title>

213

<subsection><body>

214

<p>

215

  This machine is not running user-mode linux, or in a chroot, it has SELinux

216

  mandatory access control.  No, you cannot install psybnc or an irc bot on the

217

  machine, unless you break the SELinux security and gain higher priviledge.

218

</p>

219

</body></subsection>

220

</section>

221

-->

222

<!-- dont put anything below here, this demo machine faq should be the last one -->

223

</sections>

1	cam 09/02/26 00:18:25
2
3	Added: hb-selinux-faq.xml
4	Log:
5	Sync 1.4
6
7	Revision Changes Path
8	1.1 xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml
9
10	file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml?rev=1.1&view=markup
11	plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml?rev=1.1&content-type=text/plain
12
13	Index: hb-selinux-faq.xml
14	===================================================================
15	<?xml version="1.0" encoding="utf-8"?>
16	<!DOCTYPE sections SYSTEM "/dtd/book.dtd">
17
18	<!-- The content of this document is licensed under the CC-BY-SA license -->
19	<!-- See http://creativecommons.org/licenses/by-sa/1.0 -->
20
21	<!-- Le contenu de ce document est sous licence CC-BY-SA. -->
22	<!-- Voir http://creativecommons.org/licenses/by-sa/1.0/deed.fr -->
23
24	<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/proj/fr/hardened/selinux/hb-selinux-faq.xml,v 1.1 2009/02/26 00:18:25 cam Exp $ -->
25
26	<sections>
27	<version>1.3</version>
28	<date>2006-05-01</date>
29
30	<section>
31	<title>Limites de SELinux</title>
32	<subsection>
33	<title>Est-ce que SELinux permet de limiter les ressources
34	systèmes ?</title>
35	<body>
36
37	<p>
38	Non, la limitation de ressource n'est pas dans le domaine d'un système de contrôle d'accès. Si vous cherchez ce type de fonctionnalités, orientez-vous plutôt vers GRSecurity et RSBAC.
39	</p>
40
41	</body>
42	</subsection>
43	</section>
44
45	<section>
46	<title>SELinux et les autres projets Hardened</title>
47	<subsection>
48	<title>Puis-je utiliser SELinux et GRSecurity (et PaX) ?</title>
49	<body>
50
51	<p>
52	Oui, SELinux peut être utilisé avec GRSecurity et/ou PaX sans problème. Par
53	contre, nous vous suggérons de ne pas utiliser GRACL puisqu'il serait redondant
54	avec le contrôle d'accès de SELinux.
55	</p>
56
57	</body>
58	</subsection>
59	<subsection>
60	<title>Puis-je utiliser SELinux avec le compilateur Hardened
61	(PIE-SSP) ?</title>
62	<body>
63
64	<p>
65	Oui. De plus, nous vous recommandons d'utiliser PaX pour tirer profit au
66	maximum des fonctionnalités PIE du compilateur.
67	</p>
68
69	</body>
70	</subsection>
71	<subsection>
72	<title>Puis-je utiliser SELinux avec RSBAC ?</title>
73	<body>
74
75	<p>
76	Aucune idée. Tenez-nous au courant si vous essayez...
77	</p>
78
79	</body>
80	</subsection>
81	</section>
82
83	<section>
84	<title>SELinux et les systèmes de fichiers</title>
85	<subsection>
86	<title>Puis-je utiliser SELinux sur mon système de fichiers ?</title>
87	<body>
88
89	<p>
90	SELinux est utilisable sur de l'ext2, ext3, JFS et XFS. Reiserfs (reiser3)
91	dispose des attributs étendus mais l'implémentation n'a jamais été terminée et
92	ne fonctionne plus depuis 2.6.14. Reiser4 n'est pas supporté.
93	</p>
94
95	</body>
96	</subsection>
97	<subsection>
98	<title>Et sur les autres systèmes de fichiers ?</title>
99	<body>
100
101	<p>
102	SELinux peut également monter les systèmes de fichiers annexes, tels que vfat
103	et iso9660, mais avec une grosse restriction : tous les fichiers du montage
104	auront le même type SELinux, puisque le système de fichiers ne supporte pas les
105	attributs étendus. Tmpfs est le seul système de fichiers annexe à supporter les
106	attributs étendus.
107	</p>
108
109	</body>
110	</subsection>
111	<subsection>
112	<title>Puis-je utiliser SELinux sur un montage réseau ?</title>
113	<body>
114
115	<p>
116	Oui, SELinux peut monter les systèmes de fichiers en réseau, tels que NFS et
117	CIFS, mais avec la même restriction : tous les fichiers du montage auront
118	le même type SELinux, puisque le système de fichiers ne supporte pas les
119	attributs étendus. Espérons que les systèmes de fichiers en réseau pourront
120	gérer les attributs étendus dans un avenir proche.
121	</p>
122
123	</body>
124	</subsection>
125	</section>
126
127	<section>
128	<title>Messages d'erreur de Portage</title>
129	<subsection>
130	<title>emerge se plaint de ne pas trouver un module SELinux</title>
131	<body>
132
133	<pre caption="Message de Portage">
134	!!! SELinux module not found. Please verify that it was installed.
135	</pre>
136
137	<p>
138	Ce message indique que le module SELinux pour Portage est manquant ou
139	endommagé. Ce peut aussi être Python qui a été mis à jour vers une nouvelle
140	version, ce qui nécessite la recompilation de python-selinux. Réinstallez
141	dev-python/python-selinux. Si des paquets ont été installés avec cette erreur,
142	ils doivent être ré-étiquetés une fois que le problème est résolu. En cas de
143	doute sur les paquets à ré-étiqueter, ré-étiquetez tout.
144	</p>
145
146	</body>
147	</subsection>
148	</section>
149
150	<section>
151	<title>Messages d'erreur du noyau à propos de SELinux</title>
152	<subsection>
153	<title>Lors du démarrage, j'obtiens une erreur register_security</title>
154	<body>
155
156	<pre caption="Message du noyau">
157	There is already a security framework initialized, register_security failed.
158	Failure registering capabilities with the kernel
159	selinux_register_security: Registering secondary module capability
160	Capability LSM initialized
161	</pre>
162
163	<p>
164	Cela signifie que le module Capability LSM n'a pas pu s'enregistrer en tant que
165	module principal, puisque SELinux l'est déjà. Le troisième message signifie
166	qu'il s'est enregistré avec SELinux comme un module secondaire. C'est normal.
167	</p>
168
169	</body>
170	</subsection>
171	</section>
172
173	<section>
174	<title>Messages d'erreur de setfiles</title>
175	<subsection>
176	<title>Le ré-étiquetage échoue à cause d'un contexte invalide</title>
177	<body>
178
179	<pre caption="Exemple de contextes invalides">
180	# make relabel
181	/usr/sbin/setfiles file_contexts/file_contexts `mount \| awk '/(ext[23]\| xfs).*rw/{print $3}'`
182	/usr/sbin/setfiles: read 559 specifications
183	/usr/sbin/setfiles: invalid context system_u:object_r:default_t on line number 39
184	/usr/sbin/setfiles: invalid context system_u:object_r:urandom_device_t on line number 120
185	/usr/sbin/setfiles: invalid context system_u:object_r:fonts_t on line number 377
186	/usr/sbin/setfiles: invalid context system_u:object_r:fonts_t on line number 378
187	/usr/sbin/setfiles: invalid context system_u:object_r:krb5_conf_t on line number 445
188	/usr/sbin/setfiles: invalid context system_u:object_r:system_cron_spool_t on line number 478
189	/usr/sbin/setfiles: invalid context system_u:object_r:system_cron_spool_t on line number 479
190	/usr/sbin/setfiles: invalid context system_u:object_r:system_cron_spool_t on line number 492
191	/usr/sbin/setfiles: invalid context system_u:object_r:system_cron_spool_t on line number 493
192	/usr/sbin/setfiles: invalid context system_u:object_r:system_cron_spool_t on line number 494
193	Exiting after 10 errors.
194	make: *** [relabel] Error 1
195	</pre>
196
197	<p>
198	Commencez par vérifier que <path>/selinux</path> soit bien monté, car sinon
199	setfiles ne peut pas valider de contexte et croira que tous les contextes sont
200	invalides. Si <path>/selinux</path> est monté, alors il est probable qu'une
201	nouvelle politique n'ait pas encore été chargée et donc les contextes ne soient
202	pas encore valides.
203	</p>
204
205	</body>
206	</subsection>
207	</section>
208
209
210	<!-- always keep this one as the bottom FAQ :) -->
211	<!-- comment out since the demo machine is down for an indefinite period of time
212	<section><title>Gentoo SELinux Demonstration Machine</title>
213	<subsection><body>
214	<p>
215	This machine is not running user-mode linux, or in a chroot, it has SELinux
216	mandatory access control. No, you cannot install psybnc or an irc bot on the
217	machine, unless you break the SELinux security and gain higher priviledge.
218	</p>
219	</body></subsection>
220	</section>
221	-->
222	<!-- dont put anything below here, this demo machine faq should be the last one -->
223	</sections>

Gentoo Archives: gentoo-commits