OVH Community, your new community space.

Fedora 20: selinux: Wie ist der Status bei Kimsufi?


Felix
12.02.14, 18:39
Zitat Zitat von Peter Littmann
Ich habe jetzt eine Neuinstallation durchgeführt, der Originalkernel der Distribution wird jedoch nicht installiert obwohl ich das unter custom config ausgewählt habe, auch nicht bei Debian
Ich habe bei dem einzigen Server, den ich zu deinem Namen finden konnte (ns333xxxx) in den installations-logs nachgesehen, und da steht das der OVH-Kernel ausgewählt (und daher auch installiert) wurde :-/

Kannst du es eventuell nochmal probieren und screenshots anlegen, um sicherzustellen das wir nicht aneinander vorbeireden?

Felix

Peter Littmann
10.02.14, 21:38
Zitat Zitat von Felix
Hallo,

Die Standard-Installationen beinhalten den OVH-Kernel, in dessen config SELinux nicht aktiviert ist. Du hast aber bei der Reinstallation die Möglichkeit, den nativen Kernel der Distribution auszuwählen, dieser sollte bei Fedora SELinux unterstützen.

Felix
Ich habe jetzt eine Neuinstallation durchgeführt, der Originalkernel der Distribution wird jedoch nicht installiert obwohl ich das unter custom config ausgewählt habe, auch nicht bei Debian:
Code:
# ls -al /boot
total 10218
drwxr-xr-x  4 root root    1024 Feb 10 19:46 .
drwxr-xr-x 23 root root    4096 Feb 10 19:50 ..
-rw-r--r--  1 root root 7665600 Dec 20 17:32 bzImage-3.10.23-xxxx-std-ipv6-64
drwxr-xr-x  3 root root    8192 Feb 10 19:46 grub
drwx------  2 root root   12288 Feb 10 19:45 lost+found
-rw-r--r--  1 root root 2727448 Dec 10 15:50 System.map-3.10.23-xxxx-std-ipv6-64
Die Kernel-Installation aus dem rpm-repository scheitert bei Fedora daran, dass grubby und dracut einen Fehler melden, letztere wegen nicht vorhandenem /proc/modules. Da bleibt wir wohl nur, eine eigene Installation über chroot.

Peter Littmann
05.02.14, 17:02
Warum ist SELinux in den OHV-Kerneln nicht aktiviert? Bringt das nicht mehr Sicherheit sondern mehr Probleme, wenn man SELinux einsetzt? Gibt es eine Dokumentation zu den OHV-Kerneln?

Felix
05.02.14, 16:12
Hallo,

Die Standard-Installationen beinhalten den OVH-Kernel, in dessen config SELinux nicht aktiviert ist. Du hast aber bei der Reinstallation die Möglichkeit, den nativen Kernel der Distribution auszuwählen, dieser sollte bei Fedora SELinux unterstützen.

Felix

Peter Littmann
05.02.14, 11:08
Hallo, Ich habe eine neue Installation von Fedora 20 gemacht und bei meiner Anmeldung wollte ich den ssh-Port ändern. Es funktioniert durch Änderung der /etc/ssh/sshd_config. Es gibt aber eine Notiz in der config-Datei dass man "semanage port -a -t ssh_port_t -p tcp #PORTNUMBER" ausführen soll. Dies funktioniert nicht weil semanage nicht installiert ist, so habe ich es mit : "yum install policycoreutils-python" welches ebenfalls folgendes installlierte:
Code:
Abhängigkeit installiert:
  audit-libs-python.x86_64 0:2.3.3-1.fc20                                       
  checkpolicy.x86_64 0:2.1.12-5.fc20                                            
  libcgroup.x86_64 0:0.38-7.fc20                                                
  libsemanage-python.x86_64 0:2.1.10-14.fc20                                    
  python-IPy.noarch 0:0.75-6.fc20                                               
  setools-libs.x86_64 0:3.3.7-41.fc20
Nun erhielt ich den Fehler:
Code:
[root@furlab ~]# semanage port -a -t ssh_port_t -p tcp 7022
OSError: Protocol not supported
[root@furlab ~]# semanage port -l
OSError: Protocol not supported
nmap war ebenfalls nicht installiert und nach der Installation meldete es nur Port 53, nicht 22 oder 7022, den gewünschten Port:
Code:
PORT   STATE SERVICE
53/tcp open  domain
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
Die selinux-config gibt an, es wäre enforcing:
Code:
[peter@furlab ~]$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted
während getenforce sagt, es wäre ausgeschaltet:
Code:
[peter@furlab ~]$ sudo  /usr/sbin/getenforce
Disabled
Was läuft hier?
Gibt es ein Problem mit der Kimsufi Standard-Installation von Fedora?