Sie sind nicht angemeldet.

[erledigt] SELinux lvm Probleme

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

1

15.12.2009, 13:21

SELinux lvm Probleme

Hallo,

zunächst sollte ich erwähnen, dass ich sehr neu bei Gentoo bin. Man möge mir also mein DAU Auftreten verzeihen.

Ich bin dabei Gentoo auf meinem Test/Bastelrechner auszuprobieren im Großen und Ganzen auch erfolgreich.
Das einzige Problem bleibt ein aktiviertes SELinux (selinux-hardenened 2007 Profil), welches ich nach der entsprechendes Seite im Gentoo Wiki installiert habe.
Dabei ist mir durchaus klar, dass dies evtl. unnötig ist und zu Problemen führen kann, aber darum ist ja auch ein Testrechner und ich würde gerne mehr über SELinux lernen; deaktivieren scheidet also erstmal aus.

Das Problem ist, dass, mein /home Verzeichnis auf LVM nicht automatisch gemounted wird, denn beim Boot wird nur gemeldet "failed to set up LVM". Das Ganze funktioniert im permissive Mode, und auch ein manuelles vgchange -a y gefolgt von manuellem mounten nach dem login funktioniert ohne Probleme.
Ich würde gerne eine entsprechende Regel erstellen bzw. mir den AVC audit anschauen, leider taucht in keinem Log (dmesg, kern.log, messages, avc.log) irgendetwas bzgl. lvm auf, was mich auch nicht weiter wundert, da das LVM lange vor dem syslog gestartet wird.
Zur Lösung habe ich nach sec-policy/lvm ebuilds gesucht, die aber nicht existieren. Dann habe mal testweise ein Modul gebaut indem ich alle Allow Regeln von meinem Fedora System (das übrigens auch mit lvm tadellos läuft ) mit sesearch ausgelesen habe und daraus ein Policy modul erstellt habe, allerdings funktioniert der LVM-Start beim boot trotzdem nicht.
Meine Frage ist erstmal, wie komme ich an die Log meldungen beim Boot heran (speziell die avc audits) denn evtl. lässt sich daraus erkennen woran es denn hängt.
Bzw, ist es möglich das LVM erst nach dem syslog zu starten.
Vielen Dank für Tipps und HInweise.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »ThaOverlord« (29.10.2012, 14:32)

schade

Profi

Beiträge: 1 228

  • Nachricht senden

2

15.12.2009, 13:44

also mit selinux generell kann ich dir zwar nicht weiterhelfen (habe ich mir noch nie so genau angeschaut)


aber eventuell mit der reihnfolge der dienste .. in welchem runlevel startest du denn den syslog und in welchem lvm? also entweder die 2 initskripte in unterschiedliche runlevel geben, oder einen 2ten boot runlevel erstellen und diesen temporär booten, oder im lvm initskript syslog-ng als abhängigkeit eintragen ..


das wäre so meine ideen fürs erste


hier noch in link zum erstellen von initskripten
Intel core 2 duo E6600
XFX Geforce 7950 gt
4096 MB DDR2
Intel DP35DP

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

3

15.12.2009, 14:10

Ja daran habe ich auch schon gedacht und mir den Artikel den du verlinkt hast schon angeschaut.
Ich habe auch schon ein bisschen damit gespielt (before, after und needs in diversen Kombinationen) allerdings ohne Erfolg.
Der Syslog startet im default mode wie im Installationshandbuch angegeben. Lvm startet aber viel früher ( ohne dass ich ihn zu irgendeinem runlevel hinzugefügt habe) und zwar gleich nachdem die "normalen Partitionen" eingehängt werden. und vor dem fsck (der übrigens durch das fehlende lvm auch nicht korrekt startet). Den lvm nach hinten zu schieben wird wahrscheinlich schwierig aber evtl. könnte man den syslog direkt vor den lvm schieben, allerdings ist mir das wie gesagt nicht gelungen.
rc-update show listet lvm in keinem runlevel.

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

4

15.12.2009, 20:34

Willkommen im Forum.
Ich habe da eine Vermutung: Kann es sein, dass Dein Kernel mit genkernel --lvm gebaut ist und in der Kernel Zeile "dolvm" steht? In diesem Fall müsstest Du Genkernel auf die Testing-Version aktualisieren. Da bin ich auch schon drüber gestolpert, siehe hier. Aber eigentlich brauchst Du das nicht in der initramfs zu haben, da es nur für LVM-"/" Partition nützlich ist.
Falls der meine Vermutung nicht stimmt... Wahrscheinlich nutzt Du noch baselayout-1. Da war LVM irgendwo in einem Dienst integriert. Da Du experimentier-freudig ist, aktualisiere auf openrc/baselayout-2. Da hast Du ein /etc/init.d/lvm, welches Du per dependencies nach syslogd starten kannst. Aber Vorsicht, OpenRC Leitfaden beachten.
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

5

16.12.2009, 14:03

Hört sich interessant an ich werde zunächst mal auf openrc umsteigen.
Allerdings frage ich mich beim durchlesen des openrc Leitfadens warum um Gottes willen immernoch baselayout1 in allen Installationshandbüchern auftaucht.
IMHO bietet es nur Nachteile.

schade

Profi

Beiträge: 1 228

  • Nachricht senden

6

16.12.2009, 14:16

gute frage ... ich persönlich finde das auch schade .. gibt auch andere solcher beispiele , bei denen das handbuch leider nicht ganz aktuell ist .. wobei .. man auch zwischen testing in stable unterscheiden muss ..

vielleicht wäre es toll generell 2 handbücher bereitzustellen, eines für stable und eines für testing .. aber andersrum .. wer soll das alles warten? schwieriges thema .. vorallem weil es doch pakete gibt die schon lange verfügbar sind und von einer breiten maße verwendet werden, jedoch nachwievor im testing und nicht im stable zweig verfügbar sind.,
Intel core 2 duo E6600
XFX Geforce 7950 gt
4096 MB DDR2
Intel DP35DP

josef.95

OSI Layer 8

Beiträge: 7 674

  • Nachricht senden

7

16.12.2009, 14:18

Zitat von »ThaOverlord«

Allerdings frage ich mich beim durchlesen des openrc Leitfadens warum um Gottes willen immernoch baselayout1 in allen Installationshandbüchern auftaucht.
IMHO bietet es nur Nachteile.

Doch Baselayout mit OpenRC ist schon ne feine Sache....
Doch beachte: in den Handbüchern und Dokumentationen wird idR ein Stable System behandelt,
OpenRC ist noch nicht hinreichend genug getestet um es "sicher" in den stable Zweig mit aufzunehmen.

(ich würde aber auch schon zu OpenRC wechseln, idR läuft es schon problemlos)

/edit:
Oh.., da war @schade etwas flotter beim tippen...
(ich glaub ich brauch mal ein Schreibmaschinen Kurs... :P )

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

8

16.12.2009, 15:03

Der nächste Kritikpunkt wäre warum im hardened/selinux Profil, das ja doch eher in Richtung Serverumgebung ausgelegt ist, LVM nicht ordentlich funktioniert.
Gerade in diesem Bereich ist es ja interessant.
Naja, zurück zum eigentlichen Problem...

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

9

16.12.2009, 15:54

Hmm leider scheint das nicht so ganz einfach zu werden:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

blah
[ blocks B     ] <sys-apps/sysvinit-2.86-r11 ("<sys-apps/sysvinit-2.86-r11" is blocking sys-apps/openrc-0.5.3)

 * Error: The above package list contains packages which cannot be
 * installed at the same time on the same system.

  ('ebuild', '/', 'sys-apps/openrc-0.5.3', 'merge') pulled in by
    =sys-apps/openrc-0.5.3
    sys-apps/openrc required by ('ebuild', '/', 'sys-apps/baselayout-2.0.0', 'merge')

  ('ebuild', '/', 'sys-apps/sysvinit-2.86-r10', 'merge') pulled in by
    >=sys-apps/sysvinit-2.86-r6 required by ('ebuild', '/', 'sys-apps/openrc-0.5.3', 'merge')
    >=sys-apps/sysvinit-2.86-r6 required by ('ebuild', '/', 'virtual/init-0', 'merge')


For more information about Blocked Packages, please refer to the following
blah


Vorschläge?

josef.95

OSI Layer 8

Beiträge: 7 674

  • Nachricht senden

10

16.12.2009, 16:07

Quellcode

 
1

("<sys-apps/sysvinit-2.86-r11" is blocking sys-apps/openrc-0.5.3)
da wirst du "sysvinit" auch noch mit demaskieren müssen..., es ist eine höhere Version als "sysvinit-2.86-r11" notwendig.
also mit in die /etc/potage/package.keywords eintragen.

(dies kann aber unter Umständen weitere Demaskierungen erfordern....)

/edit:
Wenn du es genau wissen möchtest dann schau mal ins openrc.ebuild
/usr/portage/sys-apps/openrc/openrc-0.5.3.ebuild

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11

RDEPEND="virtual/init
        kernel_FreeBSD? ( sys-process/fuser-bsd )
        elibc_glibc? ( >=sys-libs/glibc-2.5 )
        ncurses? ( sys-libs/ncurses )
        pam? ( virtual/pam )
        >=sys-apps/baselayout-2.0.0
        kernel_linux? ( !<sys-apps/module-init-tools-3.2.2-r2 )
        !<sys-fs/udev-133
        !<sys-apps/sysvinit-2.86-r11"
DEPEND="${RDEPEND}
        virtual/os-headers"
(Auszug)

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »josef.95« (16.12.2009, 16:13)

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

11

16.12.2009, 16:28

Da hab ich gleich mal noch ne grundsätzliche Frage

werden dann zukünftige Updates auch berücksichtigt oder nur genau dieses eine Packet in genau dieser Version.
Also kann man sowas eintragen wie ">packet-x" um alle Versionen abzufangen?

josef.95

OSI Layer 8

Beiträge: 7 674

  • Nachricht senden

12

16.12.2009, 16:46

Hmm.., ich verstehe deine Anfrage nicht so ganz genau, könntest du sie etwas Detaillierter stellen.

es ist natürlich auch möglich nur eine bestimmte Version zu demaskieren
in der package.keywords zb
<sys-apps/sysvinit-2.86-r11 =alles kleiner als die genannte Version
=sys-apps/sysvinit-2.86-r11 =genau die genannte Version
>sys-apps/sysvinit-2.86-r11 =alles höher als die genannte Version
usw
genauere Infos hierzu sind zb auch in der gentoo Dokumentation zu finden.
(bei bedarf such ich sie dir auch raus)

Aber allgemein wird alles beim Update berücksichtigt...

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

13

16.12.2009, 17:31

Du hast sie schon beantwortet: ich meinte den ">=ebuild-X" Teil.

Openrc scheint bis jetzt funktionieren allerdings wird selinux nicht gestartet.
Bis jetzt keine Ahnung warum: sestatus meldet disabled. LVM wird korrekt gestartet aber das tat es ja auch so schon wenn SELinux nicht aktiv war.
Zudem meint er syslog könne nicht gestartet werden weil fsck nicht korrekt gestartet würde. Da muss ich auch nochmal nachschauen. Hoffe ich muss nicht schon wieder einen neuen Kernel bauen?!
Ntp-client funktioniert auch nichtmehr, aber das ist erstmal nebensache.

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

14

16.12.2009, 18:31

Also das selinux modul wird zwar geladen aber die Policy nicht. Deshalb bleibt SELinux inaktiv.
Warum das so ist weiß ich nicht. Im Moment baue ich mal einen neuen Kernel (im übrigen mit der Genkernel Version 3.4.10.906 ).
Ob es hilft werde ich berichten. Ansonsten sind Meinungen und Vorschläge nach wie vor willkommen!

bell

Erleuchteter

  • »bell« ist männlich

Beiträge: 3 128

  • Nachricht senden

15

16.12.2009, 19:12

Wie wurde selinux mit baselayout-1 gestartet? War der Dienst irgendwo integriert? Gibt es jetzt ein /etc/init.d/selinux oä, welches gestartet werden sollte?
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

16

16.12.2009, 19:29

gute frage?!
ein /etc/init.d/selinux gibt es nicht; imho ist es direkt im Kernel integriert.

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

17

16.12.2009, 21:13

Also neuer Kernel ist gebaut allerdings ohne Veränderung.

LVM funktioniert zwar, aber SELinux nicht mehr: die Policy wird nicht geladen und SELinux ist darum disabled :(
Stecke gerade ziemlich fest und weiß auch nicht so richtig wo ich ansetzen soll.
Vielleicht sämtliche SELinux bezogenen Module remergen aber dazu hab ich heute keine Lust mehr.

schade

Profi

Beiträge: 1 228

  • Nachricht senden

18

17.12.2009, 02:48

Intel core 2 duo E6600
XFX Geforce 7950 gt
4096 MB DDR2
Intel DP35DP

ThaOverlord

Anfänger

  • »ThaOverlord« ist der Autor dieses Themas

Beiträge: 16

  • Nachricht senden

19

29.10.2012, 10:26

Hab SELinux rausgeworfen. Ende der Geschichte

mnt_gentoo

Profi

  • »mnt_gentoo« ist männlich

Beiträge: 807

  • Nachricht senden

20

31.10.2012, 03:56

PaX und GrSec reichen auch ;) Das RBAC (RoleBasedAccessControl) hab ich auch nicht an, weil ich gelesen habe, das es einige Anwendungen damit nicht können, es zu Problemen kommt und man sich selbst damit in der Administration stark einschränken könnte...
Gruß
mnt_gentoo
_________________________________________________________________________________________

Die Launen und das Schicksal eines Gentoo-Users: ?( :| :cursing: :wacko: 8| ^^ 8o ;( :P ?( ...

Zurzeit sind neben Ihnen 7 Benutzer in diesem Thema unterwegs:

7 Besucher

Häufig verwendete Suchbegriffe:

www.my-echo.de mobile-parts-discount.net Andere Architekturen Lob & Kritik Gentoo Linux bka trojaner finden Emerge Probleme softwaregarage.de Drucker Linux Computer und Notebooks