关于SELinux的四个问题

RichardGv

环境：
hardened/linux/amd64/selinux + targets/desktop
gcc-4.5.3, glibc-2.13-r4, hardened toolchain
kernel 3.0.4-hardened-r1 x86_64
sys-apps/portage-2.2.0_alpha54
SELinux strict policy
emerge --info： http://pastebin.com/j03JXhyk

试用Gentoo hardened半月有余，麻烦真是无穷无尽... 名副其实的"hardened"啊...
PaX和hardened toolchain联手制造了无数问题，不过它们的成绩未必及的上首先被我disable掉的SELinux... 请教Google大神无果，只好到这里求助了。

• SELinux似乎是禁止一个su出来的root运行emerge的（获得不了staff_r的role）。不过不在tmux/X/urxvt中运行emerge对我来说是难以容忍的一件事... 有没有什么workaround允许emerge运行于一个普通用户的tmux session中？
  
  （呃，弄出一个SSH session的wordaround还是算了吧...）
  
  每次用su出的root身份运行emerge到fetch阶段，Python都会扔出这个错误：
  1. OSError: [Errno 22] Invalid argument
  2. /usr/lib64/portage/pym/portage/_selinux.py

  复制代码
  难道与我启用的usersandbox/userpriv有关？
  
  
• 一个桌面系统究竟需要emerge哪些policy？eix sec-policy/ 看起来让人头晕眼花...
  
  目前我安装的policy有：
  2. sec-policy/selinux-acct
  3. sec-policy/selinux-acpi
  4. sec-policy/selinux-apm
  5. sec-policy/selinux-base-policy
  6. sec-policy/selinux-clamav
  7. sec-policy/selinux-dbus
  8. sec-policy/selinux-desktop
  9. sec-policy/selinux-gnupg
  10. sec-policy/selinux-gpg
  11. sec-policy/selinux-gpm
  12. sec-policy/selinux-java
  13. sec-policy/selinux-ldap
  14. sec-policy/selinux-logrotate
  15. sec-policy/selinux-mono
  16. sec-policy/selinux-mplayer
  17. sec-policy/selinux-ntp
  18. sec-policy/selinux-openldap
  19. sec-policy/selinux-openvpn
  20. sec-policy/selinux-ppp
  21. sec-policy/selinux-screen
  22. sec-policy/selinux-shorewall
  23. sec-policy/selinux-shutdown
  24. sec-policy/selinux-sudo
  25. sec-policy/selinux-uptime
  26. sec-policy/selinux-vpn
  27. sec-policy/selinux-wine
  28. sec-policy/selinux-wireshark
  29. sec-policy/selinux-xfs
  30. sec-policy/selinux-xserver

  复制代码
  
  
• sec-policy/selinux-gpg-2.20110726-r1发布已逾一周，compile phase上依旧惨败...
  2. >>> Source configured.
  3. >>> Compiling source in /var/tmp/portage/sec-policy/selinux-gpg-2.20110726-r1/work ...
  4. make -j2 -j1 NAME=strict -C /var/tmp/portage/sec-policy/selinux-gpg-2.20110726-r1/work//strict
  5. make: Entering directory `/var/tmp/portage/sec-policy/selinux-gpg-2.20110726-r1/work/strict'
  6. Compiling strict gpg module
  7. /usr/bin/checkmodule:  loading policy configuration from tmp/gpg.tmp
  8. gpg.te":354:ERROR 'syntax error' at token 'mutt_manage_tmp_files' on line 29970:
  9.         mutt_manage_tmp_files(gpg_t)
  10. #line 354
  11. /usr/bin/checkmodule:  error(s) encountered while parsing configuration
  12. make: *** [tmp/gpg.mod] Error 1
  13. make: Leaving directory `/var/tmp/portage/sec-policy/selinux-gpg-2.20110726-r1/work/strict'

  复制代码
  诡异的是全知全能的Google这次居然没给出解决方法...
  
  
• hardened-development overlay是否有必要使用？
  

zhou3345

我实在想不通为什么这么非主流楼主还是那么喜欢。我一直以为，SElinux这玩意完全就是redhat整来骗人的，hardend也是姥姥不疼舅舅不爱的主。有那么多windows肉鸡嗷嗷待宰，国内的黑客还没那份闲心来黑Linux，再说有那本事早不在国内呆着了。

RichardGv

Post by zhou3345;2151004
我实在想不通为什么这么非主流楼主还是那么喜欢。我一直以为，SElinux这玩意完全就是redhat整来骗人的，hardend也是姥姥不疼舅舅不爱的主。有那么多windows肉鸡嗷嗷待宰，国内的黑客还没那份闲心来黑Linux，再说有那本事早不在国内呆着了。

• SELinux这玩意其实不是全然无用，虽然累不死黑客，但每天可以累死一打SELinux用户是绰绰有余了... 玩笑。
  
• 其实我用hardened/SELinux的主要目的是玩...
  
• 另一个目的是把~/.mutt/muttrc和~/.purple/accounts.xml保护起来。随便用vim就能看到密码是让人很不放心的一件事... 不过，在Gentoo上设法以用户身份执行arbitrary code只怕要难上千倍（呃，abobe-flash和acroread兄请先回避一下...），因此这种安全感是相当虚幻的...