Gentoo Logo

[ << ] [ < ] [ Sommaire ] [ > ] [ >> ]

3. Foire aux Questions sur SELinux

Table des matières :

3.a. Limites de SELinux

Est-ce que SELinux permet de limiter les ressources systèmes ?

Non, la limitation de ressource n'est pas dans le domaine d'un système de contrôle d'accès. Si vous cherchez ce type de fonctionnalités, orientez-vous plutôt vers GRSecurity et RSBAC.

3.b. SELinux et les autres projets Hardened

Puis-je utiliser SELinux et GRSecurity (et PaX) ?

Oui, SELinux peut être utilisé avec GRSecurity et/ou PaX sans problème. Par contre, nous vous suggérons de ne pas utiliser GRACL puisqu'il serait redondant avec le contrôle d'accès de SELinux.

Puis-je utiliser SELinux avec le compilateur Hardened (PIE-SSP) ?

Oui. De plus, nous vous recommandons d'utiliser PaX pour tirer profit au maximum des fonctionnalités PIE du compilateur.

Puis-je utiliser SELinux avec RSBAC ?

Aucune idée. Tenez-nous au courant si vous essayez...

3.c. SELinux et les systèmes de fichiers

Puis-je utiliser SELinux sur mon système de fichiers ?

SELinux est utilisable sur de l'ext2, ext3, JFS et XFS. Reiserfs (reiser3) dispose des attributs étendus mais l'implémentation n'a jamais été terminée et ne fonctionne plus depuis 2.6.14. Reiser4 n'est pas supporté.

Et sur les autres systèmes de fichiers ?

SELinux peut également monter les systèmes de fichiers annexes, tels que vfat et iso9660, mais avec une grosse restriction : tous les fichiers du montage auront le même type SELinux, puisque le système de fichiers ne supporte pas les attributs étendus. Tmpfs est le seul système de fichiers annexe à supporter les attributs étendus.

Puis-je utiliser SELinux sur un montage réseau ?

Oui, SELinux peut monter les systèmes de fichiers en réseau, tels que NFS et CIFS, mais avec la même restriction : tous les fichiers du montage auront le même type SELinux, puisque le système de fichiers ne supporte pas les attributs étendus. Espérons que les systèmes de fichiers en réseau pourront gérer les attributs étendus dans un avenir proche.

3.d. Messages d'erreur de Portage

emerge se plaint de ne pas trouver un module SELinux

Exemple de code 4.1 : Message de Portage

!!! SELinux module not found. Please verify that it was installed.

Ce message indique que le module SELinux pour Portage est manquant ou endommagé. Ce peut aussi être Python qui a été mis à jour vers une nouvelle version, ce qui nécessite la recompilation de python-selinux. Réinstallez dev-python/python-selinux. Si des paquets ont été installés avec cette erreur, ils doivent être ré-étiquetés une fois que le problème est résolu. En cas de doute sur les paquets à ré-étiqueter, ré-étiquetez tout.

3.e. Messages d'erreur du noyau à propos de SELinux

Lors du démarrage, j'obtiens une erreur register_security

Exemple de code 5.1 : Message du noyau

There is already a security framework initialized, register_security failed.
Failure registering capabilities with the kernel
selinux_register_security:  Registering secondary module capability
Capability LSM initialized

Cela signifie que le module Capability LSM n'a pas pu s'enregistrer en tant que module principal, puisque SELinux l'est déjà. Le troisième message signifie qu'il s'est enregistré avec SELinux comme un module secondaire. C'est normal.

3.f. Messages d'erreur de setfiles

Le ré-étiquetage échoue à cause d'un contexte invalide

Exemple de code 6.1 : Exemple de contextes invalides

# make relabel
/usr/sbin/setfiles file_contexts/file_contexts `mount | awk '/(ext[23]| xfs).*rw/{print $3}'`
/usr/sbin/setfiles:  read 559 specifications
/usr/sbin/setfiles:  invalid context system_u:object_r:default_t on line number 39
/usr/sbin/setfiles:  invalid context system_u:object_r:urandom_device_t on line number 120
/usr/sbin/setfiles:  invalid context system_u:object_r:fonts_t on line number 377
/usr/sbin/setfiles:  invalid context system_u:object_r:fonts_t on line number 378
/usr/sbin/setfiles:  invalid context system_u:object_r:krb5_conf_t on line number 445
/usr/sbin/setfiles:  invalid context system_u:object_r:system_cron_spool_t on line number 478
/usr/sbin/setfiles:  invalid context system_u:object_r:system_cron_spool_t on line number 479
/usr/sbin/setfiles:  invalid context system_u:object_r:system_cron_spool_t on line number 492
/usr/sbin/setfiles:  invalid context system_u:object_r:system_cron_spool_t on line number 493
/usr/sbin/setfiles:  invalid context system_u:object_r:system_cron_spool_t on line number 494
Exiting after 10 errors.
make: *** [relabel] Error 1

Commencez par vérifier que /selinux soit bien monté, car sinon setfiles ne peut pas valider de contexte et croira que tous les contextes sont invalides. Si /selinux est monté, alors il est probable qu'une nouvelle politique n'ait pas encore été chargée et donc les contextes ne soient pas encore valides.

[ << ] [ < ] [ Sommaire ] [ > ] [ >> ]

Ce document est protégé par la licence Creative Commons : Paternité - Partage des Conditions Initiales à l'Identique 2.5.

Imprimer

Voir tout

Dernière mise à jour le 15 octobre 2006

Résumé : Ce chapitre contient les questions fréquemment posées à propos de SELinux.

Chris PeBenito
Author

Camille Huot
Traducteur

Donate to support our development efforts.

Copyright 2001-2013 Gentoo Foundation, Inc. Questions, Comments? Contact us.