Sltodo

Материал из ALT Linux Wiki

SeLinux TODO

  • Запретить root обновлять систему, если у него нету контекста officer_t. Или наоборот: разрешить устанавливать RPM только из контекста officer_t. Иначе есть высокий шанс запороть систему.
  • настроить policycoreutils-restorecond, описать его работу
  • доработать plymouth чтобы при relabeling файловой системы показывался ход процесса с бегунком.
  • Припустим пользователь перешел на уровень s7. После чего взял права root (su -). Для root наследуется пользовательский контекст безопасности. Тогда он может безвозратно запороть систему в permissive.
  • Проверить работу hasher
  • KDE4. Припустим пользователь запустил dolphin на неком уровне. Потом установил в seapplet другой уровень. Вопрос: dolphin будет запускать приложения (например для редактирования файлов), на каком уровне? На своем текущем, или согласно выставленному в seapplet ?
  • utempter, речь идет о: Utempter is a utility that allows terminal applications such as xterm and screen to update utmp and wtmp without requiring root privileges. И получаем: avc: denied { write } for pid=12871 comm="utempter" name="utmp" dev="tmpfs" ino=1163 scontext=generic_u:generic_r:generic_t:s3:c3.c5-s3:c2.c14 tcontext=generic_u:object_r:def_t:s0 tclass=file
  • При построении базы kbuildsycoca4, не может записать файл: mimeapps.list Инфо: avc: denied { write } for pid=15565 comm="kbuildsycoca4" name="mimeapps.list" dev="sda2" ino=3146174 scontext=generic_u:generic_r:generic_t:s3:c5,c7-s3:c2.c14 tcontext=generic_u:object_r:def_t:s0 tclass=file
  • seinfo -t поудалять ненужные типы
  • НЕ РАБОТАЕТ: semanage fcontext -a -t httpd_sys_content_t --ftype -- "/var/www/sub1(/.*)?"