Centos7

在 CentOS 7 中使用 Samba 和 SSSD 生成 Kerberos 票證的 SELinux 規則

  • June 28, 2016

我用 Samba 和 Netatalk 在 CentOS 7.2 上建構了一個簡單的文件伺服器。一切都按預期工作,除了 SELinux 由於拒絕寫入/var/tmpKerberos 票證的策略而拒絕 Samba 進行身份驗證。

這顯然是一個 SELinux 問題,因為如果禁用 SELinux 並且audit.log在嘗試以許可模式使用 SELinux 掛載 SMB 時出現這些條目,則一切都按預期工作:

type=AVC msg=audit(1466917992.944:493): avc: denied { write } for pid=3902 comm="smbd" name="DALARAN-044_0" dev="dm-0" ino=50452330 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=file
type=AVC msg=audit(1466917992.944:493): avc: denied { open } for pid=3902 comm="smbd" path="/var/tmp/DALARAN-044_0" dev="dm-0" ino=50452330 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=file
type=SYSCALL msg=audit(1466917992.944:493): arch=c000003e syscall=2 success=yes exit=39 a0=7fa840d08290 a1=2 a2=180 a3=7ffc93307cb0 items=0 ppid=3578 pid=3902 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="smbd" exe="/usr/sbin/smbd" subj=system_u:system_r:smbd_t:s0 key=(null)

我在網上查了一下,但我找不到解決辦法。已經有一些 SELinux 位設置如下:

getsebool -a | grep -iP "samba|smb|nmb|kerberos|krb|tmp"
gssd_read_tmp --> on
httpd_tmp_exec --> off
kerberos_enabled --> on
samba_create_home_dirs --> off
samba_domain_controller --> off
samba_enable_home_dirs --> on
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_load_libgfapi --> off
samba_portmapper --> off
samba_run_unconfined --> off
samba_share_fusefs --> off
samba_share_nfs --> off
sanlock_use_samba --> off
smbd_anon_write --> off
tmpreaper_use_nfs --> off
tmpreaper_use_samba --> off
use_samba_home_dirs --> off
virt_sandbox_use_samba --> off
virt_use_samba --> off

所以缺少一些東西,我想保持 SELinux 啟用。

謝謝,

附加資訊:

文件:/etc/krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
# default_realm = EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}

[realms]
# EXAMPLE.COM = {
#  kdc = kerberos.example.com
#  admin_server = kerberos.example.com
# }

[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

文件:/etc/sssd/sssd.conf

[sssd]
domains = if.ufrj.br
config_file_version = 2
services = nss, pam

[domain/if.ufrj.br]
ad_domain = if.ufrj.br
krb5_realm = IF.UFRJ.BR
realmd_tags = manages-system joined-with-samba 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
#use_fully_qualified_names = True
fallback_homedir = /home/%u
access_provider = ad

文件:/etc/samba/smb.conf

[global]
   server string = Samba Server Version %v
   workgroup = IF

   log file = /var/log/samba/log.%m
   max log size = 50
   log level = 3

   security = ads
   realm = IF.UFRJ.BR
   kerberos method = system keytab 

   load printers = no
   cups options = raw
   printing = bsd
   printcap name = /dev/null

[homes]
   comment = Home Directories
   browseable = no
   writable = yes
   vfs objects = catia fruit streams_xattr
   fruit:resource = file
   fruit:metadata = netatalk
   fruit:locking = netatalk
   fruit:encoding = native

通過 audit2allow 執行您的消息,我們發現

#============= smbd_t ==============

#!!!! This avc can be allowed using the boolean 'samba_export_all_rw'
allow smbd_t tmp_t:file { write open };

這告訴我們不允許 samba 使用上下文tmp_t 1寫入或打開文件。

您可以將 SELinux 置於 Permissive 模式並讓系統執行一段時間以收集全套拒絕消息,然後使用 audit2allow 創建自定義模組,但您也許可以使用退出策略。selinux_samba (8)手冊頁列出了所有與 samba 相關的布爾值和文件上下文。

感興趣的可能是smbd_tmp_t搜尋samba_var_t策略(sesearch --allow -s smbd_t ...我們發現

allow smbd_t smbd_tmp_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;
allow smbd_t samba_var_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;

因此,標記為兩者的文件可以滿足您的需求。我的偏好是使用標有 smbd_tmp_t 的目錄和/或文件。

搜尋 SELinux 正則表達式數據庫 semange fcontext -l | grep smbd_tmp_t,我們發現沒有條目。所以我們需要添加一個。我不知道 samba 和 kerberos。如果您可以對其進行配置,以便將票證放在特定目錄中(例如 /var/tmp/samba),那麼這應該可以工作

semanage fcontext -a -t smbd_tmp_t "/var/tmp/samba(/.*)?"
mkdir /var/tmp/samba #(and set the file ownership and perms appropriately)
restorecon -r /var/tmp/samba

如果您必須使用文件 /var/tmp/DALARAN-044_0 那麼

semanage fcontext -a -t smbd_tmp_t "/var/tmp/DALARAN-044_0" 
restorecon -r /var/tmp/DALARAN-044_0

重新啟動 samba/kerberos/whatever

1注意:您幾乎肯定不想將該布爾值設置為受感染的 samba 將具有對系統上所有文件的完全讀/寫訪問權限。

這是星期天,很晚,里奧哈的瓶子非常好:)

引用自:https://serverfault.com/questions/786385