LINUX.ORG.RU

[fedora][selinux] Развалилось после переноса с винта на винт

 ,


0

2

После того, как я перенос систему с одного винчестера на другой (и /dev/sdb2 стал /dev/sda5), SELinux запрещает чуть ли не всем подряд процессам читать чуть ли не все подряд файлы. В результате загрузка не происходит. Возможность загрузить какое-то rescue есть. restorecon -r / не помогает. Запустил autorelabel, который мне посоветовал гугл; он уже три часа что-то делает, а что — и делает ли — посмотреть невозможно. И поможет ли, неизвестно, потому что selinux вроде самому процессу relabel'а мешает.

Вопрос, а есть ли каноничный способ починки SELinux'а без его отключения? (Ясен пень, после отключения все работает, но не хочется отключать почем зря.)

★★★★★

А как ты autorelabel запустил?

Если touch /.autorelabel && reboot, то никто там ничему не мешает, надо просто дождаться окончания процесса.

alpha ★★★★★
()
Ответ на: комментарий от alpha

У меня на ноуте тихий винчестер и нет индикации активности оного, потому я не знаю, в процессе оно или ему не дали создать временных файлов и оно висит. Впрочем, посмотрим, полдня на полмиллиона файлов должно бы хватить...

shimon ★★★★★
() автор топика

Я, наверное, совсем отстал от жизни, но для чего нужен SELinux? Я его всегда отключаю и нормально чувствую.

sandros11
()
Ответ на: комментарий от sandros11

Я тоже так думал, но когда auditd радостно сообщил мне, что какая-то собака по имени /usr/sbin/sendmail пробовала зачем-то читать $HOME/Downloads и получила по сусалам, подумал, что зачем-то все-таки нужна.

shimon ★★★★★
() автор топика
Ответ на: комментарий от sandros11

Возьмем пример из жизни: в десктопной Федоре selinux реагирует ровно на три вещи: wine, skype и chrome.

Если приглядеться к этому набору, то можно понять, что, во-первых, selinux на десктопе свои функции по защите выполняет, а во-вторых, что выполняет их правильно.

alpha ★★★★★
()
Ответ на: комментарий от shimon

В мандриве то же есть какой=--то свой файервол, который постоянно информирует, что комп атакуется.

sandros11
()

SElinux на домашнем компе? ЫЫЫ, кого там на самого Ъ лоровца номинировали недавно? ))

Harald ★★★★★
()
Ответ на: комментарий от sandros11

Вы невнимательно пригляделись. Надо смотреть не на конкретные программы, а на тип программ, которые вызывают срабатывание selinux-а. Перечисленный список показывает, что selinux на десктопе работает там, где должен, так как должен: предупреждает о возможном некорректном поведении программ, позволяя пользователю уже самому принимать решение.

Например, ещё он срабатывал у меня однажды на расширение Яндекс.Фотки для FF, когда оно лезло в неположенный ему каталог.

И также этот список показывает, что при нормальном использовании компа пользователем SELinux не вылезает на каждый чих, а срабатывает именно в редких важных случаях, в отличие от небезызвестного оффтопового UAC.

alpha ★★★★★
()
Ответ на: комментарий от sandros11

> он вылезает именно что на каждый чих

Это миф, сильно устаревший. А в моем посте - реальный опыт использования SELinux на Fedora 15. Ровно на трех приложениях он срабатывает.

Вообще за последний год его существенно допилили. А уж SETroubleshoot каким стал - все распишет популярно, варианты предложит, баг автоматически отрепортит, если потребуется - сказка.

alpha ★★★★★
()
Ответ на: комментарий от alpha

> Если touch /.autorelabel && reboot, то никто там ничему не мешает, надо просто дождаться окончания процесса.

Я потом вычитал, что этот процесс должен рисовать звездочки, по одной на 1000 файлов. Если он за три часа ни одной не нарисовал, стряслось какое-то гэ.

Вопрос, а можно ли загрузиться из другого носителя и как-то перелэйблить все файло? Или не взлетит?

shimon ★★★★★
() автор топика
Ответ на: комментарий от shimon

Наверное из chroot-а можно, но насчет звездочек я бы перепроверила лишний раз. Ты опции quiet и rhgb из параметров загрузки убрал ? Потому как с ними он может ничего не рисовать вовсе.

И вопрос: с selinux-ом в permissive-режиме оно грузится ? Его можно в /etc/sysconfig/selinux указать, забравшись туда с Live-а, например.

Ну и почитай man fixfiles, там много опций для анализа, можно вывести список огибок и т.п.

alpha ★★★★★
()
Ответ на: комментарий от alpha

К сожалению, это не миф, я все жду с каждой федорой что его допилят и не надо будет отключать, но его потоянные сообщения просто выводят из себя.

sandros11
()
Ответ на: комментарий от alpha

> Наверное из chroot-а можно, но насчет звездочек я бы перепроверила лишний раз. Ты опции quiet и rhgb из параметров загрузки убрал ? Потому как с ними он может ничего не рисовать вовсе.

Убирал, ви таки меня за когой имеете. Как только запускается процесс relabel'а, SELinux радостно рапортует, что не позволил создать какие-то временные файлы, и все это дело может днями висеть. Звездочки не печатаются.

shimon ★★★★★
() автор топика
Ответ на: комментарий от shimon

> Убирал, ви таки меня за когой имеете

Ну мало ли. Для меня например было сюрпризом, что с quiet не то, что на экран, а даже в boot.log федора 15 ничего не пишет.

SELinux радостно рапортует, что не позволил создать какие-то временные файлы

Так как насчет переключения в permissive режим до запуска relabel ?

alpha ★★★★★
()
Ответ на: комментарий от alpha

Переключался. Та же хрень. С disabled та же, как ни странно. Пока что работаю с selinux=0.

shimon ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.