LINUX.ORG.RU
решено ФорумAdmin

Запустить selinux на AltLinux SP Server

 ,


0

1

Доброго времени суток!

Не запускается selinux в виртуалке на AltLinux 8 SP Server.

Всё сделал по инструкции: https://www.altlinux.org/Sl

Однако на этапе перезагрузки вместо сообщения о маркировке файлов загрузка просто останавливается и может висеть так час. Дольше я не пробовал. В этот момент система отвечает на пинги и на Alt-Ctrl-Del. Но не грузится.

$ uname -a
Linux proxy 4.4.86-std-def-alt0.M80C.1 #1 SMP Wed Sep 13 15:48:42 UTC 2017 x86_64 GNU/Linux
★★★★★

Это после?
touch /.autorelabel
reboot
Сотри файл, загрузись без релейбла и запусти руками
restorecon -Rv /
Заодно увидишь где именно затык.

imul ★★★★★
()
Ответ на: комментарий от fractaler

Тогда включи его сначала, а потом уже метки расставляй.
Что вписано в /etc/selinux/config ?

Всё сделал по инструкции: https://www.altlinux.org/Sl

Посмотрел инструкцию. Так себе инструкция. Что именно ты по ней сделал? У тебя ядро грузится с selinux=1?

imul ★★★★★
()
Ответ на: комментарий от imul

Что именно ты по ней сделал?

Собственно, всё по пунктам. Плюс установил пакеты по другим инструкциям.

У тебя ядро грузится с selinux=1?

Нет, в том-то и проблема. Зависает всё при этом.

fractaler ★★★★★
() автор топика
Ответ на: комментарий от bigbit

Пробую. Но система просто не загружается с хоть как-то включённым selinux.

fractaler ★★★★★
() автор топика
Ответ на: комментарий от fractaler

Собственно, всё по пунктам.

Там первый пункт сделать загрузку с selinux=1, а второй пункт сделать файл авторелейбла и ребутнуться.

Нет, в том-то и проблема. Зависает всё при этом.

Вообще всё, или только авторелейбл?
Что вписано в /etc/selinux/config ?
Посмотри например инструкцию для дженты https://wiki.gentoo.org/wiki/SELinux/Installation

imul ★★★★★
()
Ответ на: комментарий от imul

Вообще всё, или только авторелейбл?

Стоит выставить selinux=1 в загрузчике и система перестаёт грузиться.

Что вписано в /etc/selinux/config ?

SELINUX=permissive
SELINUXTYPE=alt

Посмотри например инструкцию для дженты https://wiki.gentoo.org/wiki/SELinux/Installation

Пошёл смотреть.

fractaler ★★★★★
() автор топика
Ответ на: комментарий от imul

У меня возникло стойкое ощущение, что что-то не так с опциями монтирования дисков.
После добавления в fstab

# For a "targeted" or "strict" policy type:
tmpfs  /run   tmpfs  mode=0755,nosuid,nodev,rootcontext=system_u:object_r:var_run_t  0 0

как в гентушной инструкции, и перезагрузке с selinux=1, система не грузится с ошибкой, что невозможно подключить корневой раздел на запись. Если грузится без selinux=1, то проблемы нет.

fractaler ★★★★★
() автор топика
Ответ на: комментарий от fractaler

SELINUXTYPE=alt

Очень интересно. Почему alt? Это какая-то альтовская отсебятина?
# SELINUXTYPE can take one of these four values:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
# mls - Full SELinux protection with Multi-Level Security
# mcs - Full SELinux protection with Multi-Category Security
# (mls, but only one sensitivity level)

PS: похоже на какой-то перепиленный вариант mls.

imul ★★★★★
()
Последнее исправление: imul (всего исправлений: 1)
Ответ на: комментарий от fractaler

как в гентушной инструкции, и перезагрузке с selinux=1, система не грузится с ошибкой, что невозможно подключить корневой раздел на запись.

Ну не факт что гентушная инструкция подошла бы один в один. Просто для ознакомления, что процесс обычно чуть сложнее.

imul ★★★★★
()
Ответ на: комментарий от imul

Очень интересно. Почему alt? Это какая-то альтовская отсебятина?

Да. Без понятия почему так, просто решил не трогать. В системе также есть пакет selinux-policy-alt. Полагаю, они связаны.

Просто для ознакомления, что процесс обычно чуть сложнее.

О, я этих инструкций уже начитался! Но закономерность пока ускользает от меня.

fractaler ★★★★★
() автор топика
Последнее исправление: fractaler (всего исправлений: 1)
Ответ на: комментарий от imul

Бинго!
Изменение
SELINUXTYPE=alt
на
SELINUXTYPE=targeted
Помогло. Система загрузилась sestatus показывает enabled,permissive. Кто бы мог подумать, что дефолтное значение так мешает.

Огромное спасибо!!!

fractaler ★★★★★
() автор топика
Ответ на: комментарий от imul

Наверное, я всё же сначала спрошу здесь, чтобы не плодить мелкие темы. Буквально на следующем шаге инструкции снова затык: 

# semanage login -a -s generic_u -r s0-s3:c2.c14 stanv
ValueError: SELinux policy is not managed or store cannot be accessed.
# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     denied
Max kernel policy version:      30
Почему «SELinux policy is not managed»??? Что за бред?

Практически везде в гугле эта проблема возникает, потому что команда запущена не от root. Но у меня root...

fractaler ★★★★★
() автор топика
Последнее исправление: fractaler (всего исправлений: 2)
Ответ на: комментарий от fractaler

root который получен через sudo может быть не совсем root.
По крайней мере selinux знает, что root «ненастоящий».
Ты логинился сразу root?
Потом у тебя
Policy MLS status: enabled
у меня с этим опыта нет, а смотреть документация сейчас некогда. Так что скорее всего дальше буду бесполезен.

imul ★★★★★
()

Всё сделал по инструкции: https://www.altlinux.org/Sl

wiki, всё же, скорее журнал тех, кто что-то сделал и решил зафиксировать. При этом там основные правки от 2013 года, как я смотрю.

AltLinux 8 SP Server

А официальная техподдержка не помогает с вопросом? Дистрибутивы на бранчах c* обладают некоторыми отличиями от тех, что на бранчах p*, как минимум там ПО постарее. Те, кто пишут на http://www.altlinux.org, в большинстве используют p*, t* или, вовсе, Sisyphus, это надо учитывать.

AS ★★★★★
()
Ответ на: комментарий от AS

С официальной техподдержкой пока не контактировал. Мне ещё предстоит понять, что у них с поддержкой.
На форуме, а я так понимаю, это те же люди, ответили, что проще переустановить систему и включить selinux на этапе установки, чем вот так париться. А мне очень не хочется это делать...

fractaler ★★★★★
() автор топика
Ответ на: комментарий от fractaler

На форуме, а я так понимаю, это те же люди, ответили

Форум и wiki (вообще всё *.altlinux.org), в первую очередь, ресурсы team. Сотрудники Базальта вообще и техподдержки в частности там тоже встречаются, но это далеко не все.

что проще переустановить систему

Не знаю, какая там тема, что-то свежего не увидел, но решать проблему переустановкой - это как-то не по юниксовому, действительно. На крайняк я бы поставил отдельно, тем более раз виртуалка, а потом список пакетов сравнил и конфиги.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 3)
Ответ на: комментарий от fractaler

С официальной техподдержкой пока не контактировал. Мне ещё предстоит понять, что у них с поддержкой.

Вообще-то, с выяснения этого надо было начать, раз уж приспичило использовать ALT Linux.

Partisan ★★★★
()
Ответ на: комментарий от fractaler

Подозреваю, что там вся политика настроена так, что шаг влево, шаг вправо - работать не будет.

anonymous
()

Сложно сказать «с ходу», возможно проблема с корректностью загрузки/отработки модуля selinux, либо связанных с ним модулей ядра. Ну или каких-то иных сопутствующих зависимостей.

ChAnton ★★
()
Последнее исправление: ChAnton (всего исправлений: 2)
Ответ на: комментарий от anonymous

Подозреваю, что там вся политика настроена так, что шаг влево, шаг вправо - работать не будет.

Всё оказалось даже хуже. АльтЛинукс официально не поддерживает работу с selinux. Так что гиблое это дело.

fractaler ★★★★★
() автор топика
8 июня 2021 г.
Ответ на: комментарий от fractaler

А есть ссылка на пруф, что AltLinux не поддерживает selinux официально?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin