Проблема с SELinux: нужна помощь

main
1

Привет всем! Я прохожу курс “от 0 до Linux админа” на сайте yodo.im и столкнулся с проблемой настройки SELinux.

У меня есть хост на Debian 12, использующийся как архив. Я ежедневно использую rsync для передачи данных с другого хоста на этот архивный хост, стараясь сохранить разрешения и ACL. Чтобы избежать SSH-доступа к root (даже через ключ), я решил использовать rsync через пользователя с ограничениями, который вызывает rsync с помощью sudo. На Debian это работает через профиль AppArmor, который разрешает запись только в определённую директорию.

Сейчас я пытаюсь повторить это на AlmaLinux 9.5 с использованием SELinux, но не добился нужного результата. Настраивая контексты SELinux и используя предопределённые метки, я не могу добиться такой же защиты, как с помощью простой строки в AppArmor. SELinux и AppArmor различаются, но я хочу попробовать и SELinux.

Я пробовал контекст rsync_t, создавал профиль входа для пользователя, но процесс работает как staff_u, а не rsync_t. Я не пробовал создавать свою политику SELinux, так как в AlmaLinux есть предопределённые метки для rsync, вероятно для rsyncd. Кто-то может подсказать, как я могу воспроизвести конфигурацию AppArmor с помощью SELinux? Буду признателен за любую помощь.

Заранее спасибо!

2

Привет!

Слушай, у меня тут залипла проблема с SELinux. Я пытался, конечно, разобраться, но что-то не выходит. Вот, что я пробовал:

  1. Переключение в Permissive Mode — думал, может, если временно отключу 강제, то пойму, в чем дело. Сделал команду setenforce 0, но, как дурак, забыл, что это временно :roll_eyes:. Как только перезагрузил, снова всё заморозилось.

  2. Изучение логов — полез в audit.log, чтобы понять, какие именно процессы упираются в SELinux. Читал там и плевался, так как в логах всё перепутано. Блин, ничего не поймал, а только ещё больше запутался.

  3. Изменение контекста — попробовал ручками выставить контекст для нескольких файлов, которых, как мне казалось, не хватало. Сделал chcon -t и даже перепроверял с ls -Z, но всё равно никак.

  4. Весь интернет перелопатил — читал туториалы, форумы, пробовал советы, но всё вникуда. А ответы на Stack Overflow вообще далеки от реальности.

Пока в панике искал выход, наткнулся на курсы на yodo.im. Там, хоть и не по SELinuxе, но много полезной информации, есть пара подходящих курсов, которые могут помочь в этом заморочке. Надеюсь, что-то смогу оттуда вытащить.

В общем, если у кого есть идеи, как мне вылезти из этой тёмной тучи с SELinux, буду благодарен! :pray: