Fedora 37 SElinux Fehler beim update

gio127 schrieb:
Gibt es denn eine Möglichkeit SELinux zu deaktivieren, solange bis der Bug gefixed ist?
Deaktivieren kann man Selinux nur als ich das damals unter der Fedora 17 wieder reaktiviert habe hat es mir das ganze System blockiert. Anscheinend hat es die Sicherheitsprofile von Selinux durch das deaktivieren nicht mehr aktualisiert. Keine Ahnung ob man es heutzutage Gefahrlos aus und einschalten kann.
 
  • Gefällt mir
Reaktionen: gio127
@andy_m4 und @Linuxfreakgraz deaktivieren von SELinux geht, aber wieder aktivieren blocliert das ganze System.
Doch nicht so ratsam es zu tun oder hat sich da was geändert?
 
Linuxfreakgraz schrieb:
Deaktivieren kann man Selinux nur als ich das damals unter der Fedora 17 wieder reaktiviert habe hat es mir das ganze System blockiert.

Dann fehlte vielleicht das hier.

Relabel files with the latest SELinux policy
If you encounter any warnings regarding policies with SELinux, some files may have incorrect SELinux permissions. This may happen if SELinux was disabled in the past. To relabel SELinux on the system, run the following command and then reboot:
Code:
sudo fixfiles -B onboot
Quelle
 
  • Gefällt mir
Reaktionen: netzgestaltung, klausk1978, gio127 und 3 andere
Du kannst ja, statt es komplett zu deaktivieren, auf Permissive setzen. Dann ist es immer noch aktiv und Regelverstöße werden protokolliert, aber sie werden nicht mehr durchgesetzt.
 
  • Gefällt mir
Reaktionen: klausk1978, gio127 und NameHere
Grundsätzlich gibt es zwei Hauptgründe, warum SELinux einen Alarm bringt:
1. Packages von Fremd-Repos (auch RPM-Fusion) bei denen keine SE-Linux-Modulupdates mitausgeliefert werden.
2. Die Labels der Files passen nicht / Berechtigungen in Verzeichnissen, die von SELinux überwacht werden, erfüllen nicht die Requirements (zB Falls SELinux Status=enforcing UND chmod -R 0777 .ssh/ oder .pki/ etc =
SELinux verhindert VPN bzw SSH zu einem anderen System, da die Berechtigungen 'zu locker' sind.

Für Alle die mit SELinux nicht so betraut sind:
1. mit 'ls -laZ' im Terminal sieht man die SE-Linux Labels der einzelnen Files.
2. Einen sehr guten Überblick mit aktivierten SE-Booleans usw.. bekommt man via folgender Vorgehensweise:
2.a) Cockpit Service inkl. "setroubleshoot" installieren (sudo dnf -y install cockpit setroubleshoot)
2.b) sudo systemctl enable cockpit.socket --now
2.c) sudo firewall-cmd --zone=public --remove-port=9090/tcp --permanent
2.d) sudo firewall-cmd --reload (2c + 2d verhindern, dass ein Zugriff auf die Cockpit-GUI von außen möglich ist)
3. Im Browser localhost:9090 öffnen, und die Anmelde-Credentials eingeben.
4. Im Menü "SELinux" findet man bereits erteilte Ausnahmen, SE-Booleans und auch aktive Probleme
Ganz wichtig: SELinux im Worst Case immer auf 'Permissive' und nicht auf 'Disabled', da dann neue Files nicht mehr gelabelt werden(fcontext), und man sich im blödesten Fall aus dem eigenen System aussperren kann, bzw man das gesamte Dateisystem neu relabeln muß.

Und ganz wichtig: Bevor man man via audit2allow in Bausch und Bogen SELinux aushebelt, vorher den Filecontext ansehen. Meist liegt das Problem trivialerweise an falschen / fehlenden File-Labels.
 
  • Gefällt mir
Reaktionen: Garmor und NameHere
@klausk1978 der fehler war ca. 1 Woche danach weg. Danke für die zusätzlichen Infos!
 
@Commodore Da man bei Fedora ziemlich im Bereich 'BleedingEdge' ist, also immer der neueste geile Scheiß ;-) :-), ist das fast normal, dass SELinux alarmiert. Das betrifft zum größtem Teil desktopspezifische Dinge wie Gnome etc...
Tipp: Die Alarme ignorieren, solange SELinux die Funktionsfähigkeit und Usability nicht beeinträchtigt. Das Problem, so wie du es ja bereits geschildert hast, löst sich dann nach 7-14 Tage in Luft auf, da dann Korrekturen seitens der Entwickler vorgenommen wurden.
 
Du hast einen falschen User (Commodore) erwähnt. ;-)

Bleeding Edge führt auch bei Arch schon mal zu Fehlern.
 
Ich wollt nur kurz Feedback geben, das mein Fedora 37 zum Glück keine solche Meldung schiebt. Könnte also auch an einer spezifischen Konfig liegen (habt ihr beide KDE?).
 
Ja war mit KDE. Das war kurz nach dem Upgrade auf 37 und hat sich dann wieder nach ca. 7-10 Tagen erledigt. Denke das da mit den Paketupdates dasbehoben wurde.
 
Ich werde bei der 38, 4 Wochen warten bevor ich upgrade :D
 
Zurück
Oben