Welcome, Guest. Please login or register.
Did you miss your activation email?

Author Topic: [DE] Experimenteller Kernel: Neue Bootmeldung durch SELinux  (Read 11334 times)

Offline samoht

  • User
  • Posts: 490
[DE] Experimenteller Kernel: Neue Bootmeldung durch SELinux
« on: 2019/05/11, 20:12:07 »
Beim Bootvorgang der experimentellen Kernel

5.1.0-towo.1-siduction-amd64 bzw. 5.1.0-towo.2-siduction-amd64

erscheint folgende Meldung:
Quote
SELinux: could not open policy file <= /etc/selinux/targeted/policy/policy.31

Ist das nur Kosmetik, oder sollte etwas unternommen werden?

Offline axt

  • User
  • Posts: 494
    • axebase.net
Re: Experimenteller Kernel: Neue Bootmeldung durch SELinux
« Reply #1 on: 2019/05/12, 08:34:18 »
Nutzt Du denn SELinux (oder eher die Alternative AppArmor)?

Nach Ausgaben wie "SELinux: could not open policy file <= /etc/selinux/targeted/policy/policy" kann man suchen. Bspw. access.redhat.com/solutions/91863 könnte interessant sein.



Offline samoht

  • User
  • Posts: 490
Re: Experimenteller Kernel: Neue Bootmeldung durch SELinux
« Reply #2 on: 2019/05/12, 20:06:13 »
Danke, @axt,
für den überaus wertvollen Hinweis mit der Suchmaschine, darauf wäre ich nicht gekommen.
Die Bootnachricht gab es mit den älteren Kerneln nicht, und die für SELinux relevanten Pakete wurden in den letzten drei Monaten nicht aktualisiert.
Auch sehr zielführend der Link, der sich auf RedHat-Installationen bezieht und daher sicher unmittelbar für unsere siduction-Systeme anwendbar ist!
Code: [Select]
# LANG=C apt purge libselinux1 libsemanage-common libsemanage1
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Some packages could not be installed. This may mean that you have
requested an impossible situation or if you are using the unstable
distribution that some required packages have not yet been created
or been moved out of Incoming.
The following information may help to resolve the situation:

The following packages have unmet dependencies:
 libgpgmepp6 : Depends: libgpgme11 (>= 1.9.0) but it is not going to be installed
E: Error, pkgProblemResolver::Resolve generated breaks, this may be caused by held packages.
Code: [Select]
# LANG=C dpkg -l libgpgme* | grep ^ii
ii  libgpgme++2v5     4:4.14.10-11 amd64        C++ wrapper library for GPGME
ii  libgpgme11:amd64  1.12.0-6     amd64        GPGME - GnuPG Made Easy (library)
ii  libgpgmepp6:amd64 1.12.0-6     amd64        C++ wrapper library for GPGME
Code: [Select]
# LANG=C apt-mark showhold
#

Offline axt

  • User
  • Posts: 494
    • axebase.net
Re: Experimenteller Kernel: Neue Bootmeldung durch SELinux
« Reply #3 on: 2019/05/13, 01:17:32 »
Verstanden hast Du wieder gar nichts, weil Du selbst nicht nachdenkst und es offensichtlich auch nicht willst, nicht mal gegebene Links verfolgst - auch den redhat enthaltend.

Stattdessen wie gehabt nur dumme Reflexhandlung.

Btw., aktuell seit Sonntag späten Mittag ist 5.1.1-towo.1. Weder mit dem noch mit seinen exp-Vorläufern oder sonstwann sind bei meinen siduction-Installationen von Dir beschriebene SELinux-Probleme aufgetreten.

Offline melmarker

  • User
  • Posts: 2.799
    • g-com.eu
Re: Experimenteller Kernel: Neue Bootmeldung durch SELinux
« Reply #4 on: 2019/05/13, 01:31:08 »
Schön, dass das hier so zielführend ist  - @samoth, lass die selinux-interface-Pakete in Ruhe, dat geht schief. Hat ungefähr den selben Stellenwert wie die systemd-Schnittstellenpakete - die tun nix, die sind nur so da.

Nu zum eigentlichen Thema selinux:
https://bugzilla.redhat.com/show_bug.cgi?id=1592775, da steht was von semodule -B zum neu generieren drin. Wenn man sich den ganzen Quatsch nicht antun möchte - man kann das einstellen. Default SELINUX in debian ist permissive. Dat heisst auf Deutsch, wenn was nicht passt, werden Warnungen angezeigt, mehr noch nicht.

Code: [Select]
$ cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
# default - equivalent to the old strict and targeted policies
# mls     - Multi-Level Security (for military and educational use)
# src     - Custom policy built from source
SELINUXTYPE=default

# SETLOCALDEFS= Check local definition changes
SETLOCALDEFS=0

Wenn einem die auf den Sack gehen - Editor auf und an die richtige Stelle nen disabled reingemalt :)

Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety. (Benjamin Franklin, November 11, 1755)
Never attribute to malice that which can be adequately explained by stupidity. (Hanlons razor)

Offline axt

  • User
  • Posts: 494
    • axebase.net
Re: Experimenteller Kernel: Neue Bootmeldung durch SELinux
« Reply #5 on: 2019/05/13, 01:42:21 »
Quote from: melmarker
da steht was von semodule -B zum neu generieren drin.

Genau wie (übersichtlicher) in meinem ach so gar nicht zutreffenden redhat-Link vor 17 h.

Offline melmarker

  • User
  • Posts: 2.799
    • g-com.eu
Re: Experimenteller Kernel: Neue Bootmeldung durch SELinux
« Reply #6 on: 2019/05/13, 07:24:28 »
Auch der Report geht am Thema für debian vorbeit - selinux läuft momentan einfach nur so mit in debian, das wurde wohl wissend, dass es noch nicht vollkommen ist, einfach mal default aktiviert. Disablen und gut ists gewesen - oder halt ignorieren.

Ziel der Aktion war es, das aktiv zu haben und zu schauen, ob relevante Sachen brechen. Tun sie nicht, sonst wäre es wieder deaktiviert worden. Ist jetzt ca. nen dreiviertel Jahr her.
Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety. (Benjamin Franklin, November 11, 1755)
Never attribute to malice that which can be adequately explained by stupidity. (Hanlons razor)

Offline axt

  • User
  • Posts: 494
    • axebase.net
Re: Experimenteller Kernel: Neue Bootmeldung durch SELinux
« Reply #7 on: 2019/05/13, 08:26:54 »
Quote from: melmarker
Auch der Report geht am Thema für debian vorbei

Meine Güte...ich beziehe mich auf die Punkte, die unter "resolution" stehen. Bootoption "selinux=0" hätte bereits gereicht (und wäre auch schnell wieder entfernbar), wenn das derzeit eh nicht wirklich funktioniert.

Im übrigen habe ich das Startposting kurz nach Erstellen gelesen. Da mich das Thema nicht tangiert, habe ich warten wollen, was andere da antworten. Angesichts von über 12 h gar keiner (und komme mir in der IT keiner mit "Nacht") hätte ich wohl eher "ob" schreiben sollen.

Habe ich ein Problem, das ich nicht selbst aus dem eigenen Fundus lösen kann, recherchiere ich selbst und zwar bis zur Lösung. Würde ich warten, bis mich jemand einen halben Tag später darüber in Kenntnis setzt, nach einer solchen Ausgabe suchen zu können, geschähe dies zu Recht.

Offline samoht

  • User
  • Posts: 490
Re: Experimenteller Kernel: Neue Bootmeldung durch SELinux
« Reply #8 on: 2019/05/14, 10:41:06 »
@melmarker,
vielen Dank für deine ausführliche Antwort, die mich motiviert hat, sich mit dem Thema SELinux (in Debian) erstmalig bekanntzumachen. Die bei mir weiterhin bestehenden Fragen werde ich eventuell im irc-Chat zur Sprache bringen.

@axt,
für Dich sind Supportforen offensichtlich eher unnötig:
Quote
Habe ich ein Problem, das ich nicht selbst aus dem eigenen Fundus lösen kann, recherchiere ich selbst und zwar bis zur Lösung.
Daher schlage ich vor, Du reagierst in Zukunft nicht mehr auf meine dummen Fragen.
Ich bleibe dann von Deinen erhellenden Beiträgen und Du dafür von meinen dummen Reflexhandlungen verschont.
« Last Edit: 2019/05/14, 10:45:06 by samoht »