web-dev-qa-db-ja.com

Kerberosチケット生成でのSambaおよびSSSDを使用したCentOS7のSELinuxルール

CentOS7.2で実行されるSambaとNetatalkを使用して単純なファイルサーバーを構築しました。 Kerberosチケットの/var/tmpへの書き込みを拒否するポリシーのために、Sambaの認証を拒否しているSELinuxを除いて、すべてが期待どおりに機能しています。

SELinuxが無効になっていて、許容モードでSELinuxを使用してSMB)をマウントしようとすると、これらのエントリがaudit.logに表示された場合、すべてが期待どおりに機能するため、これは明らかにSELinuxの問題です。

type=AVC msg=audit(1466917992.944:493): avc: denied { write } for pid=3902 comm="smbd" name="DALARAN-044_0" dev="dm-0" ino=50452330 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=file
type=AVC msg=audit(1466917992.944:493): avc: denied { open } for pid=3902 comm="smbd" path="/var/tmp/DALARAN-044_0" dev="dm-0" ino=50452330 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=file
type=SYSCALL msg=audit(1466917992.944:493): Arch=c000003e syscall=2 success=yes exit=39 a0=7fa840d08290 a1=2 a2=180 a3=7ffc93307cb0 items=0 ppid=3578 pid=3902 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="smbd" exe="/usr/sbin/smbd" subj=system_u:system_r:smbd_t:s0 key=(null)

オンラインで確認しましたが、解決策が見つかりませんでした。すでにいくつかのSELinuxビットが次のように設定されています:

getsebool -a | grep -iP "samba|smb|nmb|kerberos|krb|tmp"
gssd_read_tmp --> on
httpd_tmp_exec --> off
kerberos_enabled --> on
samba_create_home_dirs --> off
samba_domain_controller --> off
samba_enable_home_dirs --> on
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_load_libgfapi --> off
samba_portmapper --> off
samba_run_unconfined --> off
samba_share_fusefs --> off
samba_share_nfs --> off
sanlock_use_samba --> off
smbd_anon_write --> off
tmpreaper_use_nfs --> off
tmpreaper_use_samba --> off
use_samba_home_dirs --> off
virt_sandbox_use_samba --> off
virt_use_samba --> off

そのため、何かが足りないので、SELinuxを有効にしていきたいと思います。

ありがとう、

追加情報:

ファイル:/etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
# default_realm = EXAMPLE.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
# EXAMPLE.COM = {
#  kdc = kerberos.example.com
#  admin_server = kerberos.example.com
# }

[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

ファイル:/etc/sssd/sssd.conf

[sssd]
domains = if.ufrj.br
config_file_version = 2
services = nss, pam

[domain/if.ufrj.br]
ad_domain = if.ufrj.br
krb5_realm = IF.UFRJ.BR
realmd_tags = manages-system joined-with-samba 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_Shell = /bin/bash
ldap_id_mapping = True
#use_fully_qualified_names = True
fallback_homedir = /home/%u
access_provider = ad

ファイル:/etc/samba/smb.conf

[global]
    server string = Samba Server Version %v
    workgroup = IF

    log file = /var/log/samba/log.%m
    max log size = 50
    log level = 3

    security = ads
    realm = IF.UFRJ.BR
    kerberos method = system keytab 

    load printers = no
    cups options = raw
    printing = bsd
    printcap name = /dev/null

[homes]
    comment = Home Directories
    browseable = no
    writable = yes
    vfs objects = catia fruit streams_xattr
    fruit:resource = file
    fruit:metadata = netatalk
    fruit:locking = netatalk
    fruit:encoding = native
1

Audit2allowを介してメッセージを実行すると、

#============= smbd_t ==============

#!!!! This avc can be allowed using the boolean 'samba_export_all_rw'
allow smbd_t tmp_t:file { write open };

これは、sambaがコンテキストtmp_tでファイルを書き込んだり開いたりすることを許可されていないことを示しています。 1

SELinuxをPermissiveモードにし、システムをしばらく実行して拒否メッセージのフルセットを収集してから、audit2allowを使用してカスタムモジュールを作成することもできますが、既存のポリシーを使用できる場合があります。 selinux_samba(8) のマニュアルページには、sambaに関連付けられているすべてのブール値とファイルコンテキストが一覧表示されます。

興味深いのは、smbd_tmp_tsamba_var_t、および検索ポリシー(sesearch --allow -s smbd_t ...

allow smbd_t smbd_tmp_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;
allow smbd_t samba_var_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;

したがって、いずれかのラベルが付けられたファイルは、必要な処理を実行します。ここでの私の好みは、smbd_tmp_tというラベルの付いたディレクトリやファイルを使用することです。

SELinux正規表現データベースsemange fcontext -l | grep smbd_tmp_tを検索すると、エントリがないことがわかります。したがって、1つ追加する必要があります。サンバとケルベロスについては知りません。チケットを特定のディレクトリ(たとえば/ var/tmp/samba)に配置するように構成できる場合、これは機能するはずです。

semanage fcontext -a -t smbd_tmp_t "/var/tmp/samba(/.*)?"
mkdir /var/tmp/samba #(and set the file ownership and perms appropriately)
restorecon -r /var/tmp/samba

ファイル/ var/tmp/DALARAN-044_0を使用する必要がある場合は、

 semanage fcontext -a -t smbd_tmp_t "/var/tmp/DALARAN-044_0" 
 restorecon -r /var/tmp/DALARAN-044_0

Samba/kerberos/whateveverを再起動します

1 注:侵害されたサンバがシステム上のすべてのファイルへの完全な読み取り/書き込みアクセス権を持つため、そのブール値を設定することはほぼ確実に望ましくありません。

日曜日は遅く、リオハのボトルはとても素敵です:)

2
user9517