vsftpd & selinux

jaskolowski

unread,

Feb 7, 2017, 7:06:41 AM2/7/17

to Gulbar - Grupo de Ususarios de Linux - San Carlos de Bariloche

Hola amigos!!

estoy con unos problemas en un centos 7

resulta que instalé vsftpd pero selinux no me deja que los usuarios accedan por FTP (eso lo voy a ver más adelante)

pero ahora ejecuto:

grep -i ftp /var/log/audit/audit.log|audit2allow 2>&1 /tmp/123.txt; getsebool -a|grep ftp

y me devuelve:

#!!!! WARNING: 'unlabeled_t' is a base type.
#!!!! The file '/home/hector' is mislabeled on your system.
#!!!! Fix with $ restorecon -R -v /home/hector
#!!!! This avc can be allowed using the boolean 'ftpd_full_access'
allow ftpd_t unlabeled_t:dir { add_name create read remove_name rmdir write };
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
httpd_can_connect_ftp --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_home_dir --> off

entonces para corregir uno de los problemas de etiquetado que me marca ejecuto:

restorecon -R -v /home/hector

pero el problema persiste. La duda es si restorecon corrigió el problema y solo esta en el log de audit?

alguna idea?

saludos!

Gustavo Berman

unread,

Feb 7, 2017, 1:33:34 PM2/7/17

to gul...@googlegroups.com

probá mejor con la linea que le seguía:

"This avc can be allowed using the boolean 'ftpd_full_access'"

usando setsebool ftpd_full_access 1

--
You received this message because you are subscribed to the Google Groups "Gulbar - Grupo de Ususarios de Linux - San Carlos de Bariloche" group.
To unsubscribe from this group and stop receiving emails from it, send an email to gulbar+unsubscribe@googlegroups.com.
To post to this group, send email to gul...@googlegroups.com.
Visit this group at https://groups.google.com/group/gulbar.
For more options, visit https://groups.google.com/d/optout.

--

Gustavo Berman
Sysadmin - Gerencia de Física - Centro Atómico Bariloche - CNEA

Hector Jaskolowski

unread,

Feb 7, 2017, 2:02:41 PM2/7/17

to gulbar

Sí, al final lo resolví con eso.

gracias!

Last but not Least

Sebastián Treu

unread,

Feb 14, 2017, 8:44:58 AM2/14/17

to gulbar

Sin ánimo de ser el troll (śolo esta vez)... le ven algún beneficio a selinux?

If you want freedom, compile the source.

Sebastián Treu
http://labombiya.com.ar

Gustavo Berman

unread,

Feb 14, 2017, 6:02:08 PM2/14/17

to gul...@googlegroups.com

Alguna vez hiciste backup de cosas que nunca jamás volviste a necesitar?

Es lo mismo

Mejor tenerlo

Cuidate, querete

Claudio M. Llanca

unread,

Feb 14, 2017, 8:34:53 PM2/14/17

to gul...@googlegroups.com

Sebas, es una pregunta valida.

La respuesta es SI.

Hay dos opciones,

1) tener selinux configurado, y tener una alta probabilidad de sobrevivir a un ataque / virus / malware / crypto ware? (ya no se como canastos le dicen), etc.

2) arriesgarse.

A nivel computadora personal, ejecutando todo desde una interfaz grafica, puede que no sea tan efectivo, cuando es el usuario el que permite la entrada de algun virus , etc.

Pero a nivel servidor/servidores y considerando los datos a proteger, es mejor tener selinux que tener que bajar todo y recuperar todo de backups..

Aca hay unos links interesantes :

http://rhelblog.redhat.com/2017/01/13/docker-0-day-stopped-cold-by-selinux/

https://access.redhat.com/security/cve/CVE-2016-9962 and CVE-2016-9962

https://asciinema.org/a/cqdg3pl07qfcdge0un7nj1lg4

Claudio M. Llanca

Sebastián Treu

unread,

Feb 15, 2017, 12:32:51 PM2/15/17

to gulbar

Entiendo lo que comenta Gustavo. Mi pregunta más bien venía por el lado de si es efectivo. Si la efectividad es un 30% (por decir un número) mi criterio invalida la implementación y configuración. Pero tomo positivamente el comentario!

Gracias Claudio por los links!

Salutti

Claudio M. Llanca

unread,

Feb 16, 2017, 1:53:14 PM2/16/17

to gul...@googlegroups.com

Sería fantástico tener una tabla comparativa de vulnerabilidad vs selinux.

Por ahora no pude encontrar nada parecido.

Pero, me arriesgaría a decir que la efectividad es superior al 70% . (considerando que la mayoría de servidores bien configurados, ejecutan servicios bajo un usuario designado , httpd, apache, etc... vs root, y que selinux previene principalmente la escalación de privilegios al 'bloquear' el acceso a recursos del sistema)

Igual, no confíes en lo que digo, sin evidencia :)

Después voy a buscar al respecto, es algo interesante a tener en cuenta.

Claudio M. Llanca

Sebastián Treu

unread,

Feb 16, 2017, 3:51:39 PM2/16/17

to gulbar

Muy bueno.

Estoy pensando en hacerme una remera con el siguiente texto en el pecho:

setenforce 1

para hacer juego con esta :D

:D

Sebastián Treu

unread,

Feb 16, 2017, 3:55:44 PM2/16/17

to gulbar

BTW, lo hice en .svg por si a alguien le interesa. Es gpl (?)

drawing2.svg

Reply all

Reply to author

Forward