SELinuxとcryptsetup:chownが失敗し、一時キーストアにアクセスできません。

tag-icon tag-icon encryption luks selinux cryptsetup
SELinuxとcryptsetup:chownが失敗し、一時キーストアにアクセスできません。

systemdサービスを使用して起動時にマウントする暗号化された追加パーティションとしてSELinuxを設定しようとしています。

許可モードでSELinuxを実行すると、すべてが正常に実行されます(パーティションが正しくマウントされ、データにアクセスでき、サービスが正常に実行されます)。

強制モード(enforcing = 1)でSELinuxを実行すると、そのパーティションをマウントできなくなり、次のエラーが発生します。

/dev/mapper/temporary-cryptsetup-1808: chown failed: Permission denied
sh[1777]: Failed to open temporary keystore device.
sh[1777]: Command failed with code 5: Input/output error

この問題を解決する方法についてのアイデアはありますか?

Audit2allowは追加する追加の規則を返しません。

@ABでコメントした後、1を編集してください。

尾の代わりに猫を使用しました。 Audit2allowは追加の許可ルールを提案していませんが、ログファイルを分析したところ、いくつかの拒否関心が見つかりました。

type=AVC msg=audit(1624863678.748:72): avc:  denied  { getattr } for  pid=1894 comm="cryptsetup" path="/dev/dm-0" dev="devtmpfs" ino=5388 scontext=system_u:system_r:sysadm_t:s0-s15:c0.c1023 tcontext=system_u:object_r:fixed_disk_device_t:s15:c0.c1023 tclass=blk_file permissive=1
type=AVC msg=audit(1624863678.748:73): avc:  denied  { read } for  pid=1894 comm="cryptsetup" name="dm-0" dev="devtmpfs" ino=5388 scontext=system_u:system_r:sysadm_t:s0-s15:c0.c1023 tcontext=system_u:object_r:fixed_disk_device_t:s15:c0.c1023 tclass=blk_file permissive=1

各 "cryptsetup"エントリの監査ログを検索して、次のことを見つけました。

~# cat /var/log/audit/audit.log | grep "cryptsetup"
type=AVC msg=audit(1624863678.748:72): avc:  denied  { getattr } for  pid=1894 comm="cryptsetup" path="/dev/dm-0" dev="devtmpfs" ino=5388 scontext=system_u:system_r:sysadm_t:s0-s15:c0.c1023 tcontext=system_u:object_r:fixed_disk_device_t:s15:c0.c1023 tclass=blk_file permissive=1
type=SYSCALL msg=audit(1624863678.748:72): arch=14 syscall=195 success=yes exit=0 a0=bfebd34c a1=bfebd2e0 a2=bfebd2e0 a3=bfebd370 items=0 ppid=1891 pid=1894 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="cryptsetup" exe="/usr/sbin/cryptsetup" subj=system_u:system_r:sysadm_t:s0-s15:c0.c1023 key=(null)
type=AVC msg=audit(1624863678.748:73): avc:  denied  { read } for  pid=1894 comm="cryptsetup" name="dm-0" dev="devtmpfs" ino=5388 scontext=system_u:system_r:sysadm_t:s0-s15:c0.c1023 tcontext=system_u:object_r:fixed_disk_device_t:s15:c0.c1023 tclass=blk_file permissive=1
type=SYSCALL msg=audit(1624863678.748:73): arch=14 syscall=5 success=yes exit=6 a0=bfebf7ac a1=131000 a2=0 a3=10022cc0 items=0 ppid=1891 pid=1894 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="cryptsetup" exe="/usr/sbin/cryptsetup" subj=system_u:system_r:sysadm_t:s0-s15:c0.c1023 key=(null)

編集2:refpolicyリポジトリで変更を探す2020年11月に提出されましたそして2021年2月の約束。私が引き受けた事件にも適用されるかどうかはわかりません。

ベストアンサー1

lvm_exec_tcryptsetup コンテキストに割り当てる問題を修正しました。

lvm.fccryptsetupファイルには次のように定義されていますが、実際の場所/bin/cryptsetupに変更する必要があります。/usr/sbin/cryptsetup

おすすめ記事