[Aërendil]

C'est une install fraiche ou un upgrade ?

Selinux est présent depuis pas mal de temps et ne pose généralement plus trop de problème.
Tu peux tenter de restaurer les contextes Selinux avec la commande "restorecon -R path" .

Après tu peux aussi complétement désactiver Selinux, regarde du coté de /etc/selinux/config. Mais c'est plutôt déconseillé.

[Dr. Troy]

Citation :

Publié par Aërendil

C'est une install fraiche ou un upgrade ?

Selinux est présent depuis pas mal de temps et ne pose généralement plus trop de problème.
Tu peux tenter de restaurer les contextes Selinux avec la commande "restorecon -R path" .

Après tu peux aussi complétement désactiver Selinux, regarde du coté de /etc/selinux/config. Mais c'est plutôt déconseillé.

Une installation fraîche ! Depuis une iso "minimal".
Quand je regarde sur le net je n'ai pas l'air d'être le seul à avoir des problèmes (ça a l'air plus courant lors d'une maj majeure), c'est pas bloquant (enfin le coup de rsync qui ne marchait pas l'a été, mais c'est réglé), mais ça peut être un peu chiant, typiquement je trouve bizarre que systemd ne puisse pas redémarrer des services lors d'une maj via dnf ( ça se traduit par des messages et des fois des "longs" moments d'attente) et que rsync était bloqué par défaut (ça faisait comme si je n'avais pas les droits en écriture).

Effectivement je peux désactiver ou mettre en "permissive", mais tant qu'à faire, j'aurais bien voulu comprendre ce qui ne va pas, après encore une fois c'est pas dramatique Merci en tout cas, je vais me rencarder sur la commande restorecon (mais j'ai déjà fait un autorelabel, j'ai l'impression que ca revient au même que de faire un restorecon -R / )

[Eyce Karmina]

Je suis en enforcing depuis une dizaine d'année sur toutes mes machines perso, ça m'a permis de comprendre le fonctionnement pour le taf.
Il y a peu d'intérêt à le faire pour un particulier, mais globalement ça juste marche donc pas vraiment de raison de le désactiver non plus.

rsync est un cas fréquent de soucis avec SElinux (tout ce qui est orienté transfert de fichiers sur le réseau en fait, car des policies sont souvent prévues pour durcir l'accès aux ressources locales). La solution est en général de restaurer le contexte ou d'activer un booléen. getsebool -a te donnera la liste, ça donne souvent une piste sur ce qui peut être bloquant (tu verras ceux liés à rsync). Plus rarement on peut devoir se créer un contexte custom pour une partie de l'arbo et de façon exceptionnelle devoir créer une policy.
Si le sujet des policies t'interesse, voici un exemple de bon usage https://stackoverflow.com/questions/...tings-required

Le truc à ne pas faire en revanche, c'est utiliser le permissif en solution. C'est fait uniquement pour le troubleshoot, pas pour être laissé en permanence. Mieux vaut être en disabled si on veut se débarrasser des problèmes SElinux.
J'ai déjà eu le cas d'un service qui détectait que le contexte n'était pas bon et refusait d'accéder au fichier de lui même, alors que le permissif lui aurait laissé accès. Et forcément pas de deny dans les logs pour comprendre que le problème venait du contexte. Des envies de meurtre envers le dev.

Ah et bienvenue chez les fous qui gardent selinux (c'est beaucoup plus simple qu'il y a quelques années).

[Dr. Troy]

Citation :

Publié par Eyce Karmina

Je suis en enforcing depuis une dizaine d'année sur toutes mes machines perso, ça m'a permis de comprendre le fonctionnement pour le taf.
Il y a peu d'intérêt à le faire pour un particulier, mais globalement ça juste marche donc pas vraiment de raison de le désactiver non plus.

rsync est un cas fréquent de soucis avec SElinux (tout ce qui est orienté transfert de fichiers sur le réseau en fait, car des policies sont souvent prévues pour durcir l'accès aux ressources locales). La solution est en général de restaurer le contexte ou d'activer un booléen. getsebool -a te donnera la liste, ça donne souvent une piste sur ce qui peut être bloquant (tu verras ceux liés à rsync). Plus rarement on peut devoir se créer un contexte custom pour une partie de l'arbo et de façon exceptionnelle devoir créer une policy.
Si le sujet des policies t'interesse, voici un exemple de bon usage https://stackoverflow.com/questions/...tings-required

Le truc à ne pas faire en revanche, c'est utiliser le permissif en solution. C'est fait uniquement pour le troubleshoot, pas pour être laissé en permanence. Mieux vaut être en disabled si on veut se débarrasser des problèmes SElinux.
J'ai déjà eu le cas d'un service qui détectait que le contexte n'était pas bon et refusait d'accéder au fichier de lui même, alors que le permissif lui aurait laissé accès. Et forcément pas de deny dans les logs pour comprendre que le problème venait du contexte. Des envies de meurtre envers le dev.

Ah et bienvenue chez les fous qui gardent selinux (c'est beaucoup plus simple qu'il y a quelques années).

Oui c'est ce que j'ai fait pour rsync, je l'ai fait de façon assez empirique, je trouve pas la doc très claire, j'ai fini par faire un grep avec toutes les occurrences de rsync, et j'ai toggle ceux qui me semblaient correspondre et ça a fonctionné
Par contre pour les messages d'erreurs que j'ai en faisant une update avec dnf5, j'ai pas l'impression d'être le seul et ça ressemble plus à un bug de la 41 qu'autre chose. Bon après je suis complètement noob avec selinux (et fedora), et pour ce cas, je trouve pas d'occurrence qui correspondrait dans les booleans.

Entre temps j'ai installé le troubleshooter, et il me sort ça, je vais essayer sa solution, et je verrai à la prochaine update si j'ai encore les messages.

Maintenant je vais culpabiliser de ne jamais l'avoir activé sur mon serveur debian, ça serait peut être plus utile que sur ma machine de bureau.

[Eyce Karmina]

La doc est assez peu claire en effet, ça fait des années que je repousse la rédaction d'un document pour en expliquer le fonctionnement...

Je te déconseille les audit2allow, c'est bien pour créer une policy pour des services custom pour lesquels les dev n'ont pas fait le taf, mais pour un soucis de dnf sur une fedora neuve, c'est probablement une mauvaise idée.

[PatNyck]

Citation :

Publié par Dr. Troy

Dites, histoire de remonter un peu le fil mais j'irai faire mes petites recherches...

Vous utilisez SELinux sur vos machines ?

SELinux avait un intérêt sur les serveurs à une époque pour isoler les applications entre elles. Un peu l'équivalent des « project » sur Solaris. Sur une machine desktop ça n’a que peu d'interêt.

C’est une fonctionnalité qui a toujours été délicate à mettre en oeuvre. Maintenant, c’est bien plus facile d’isoler les applications en faisant du docker ou assimilé.

[Dr. Troy]

Citation :

Publié par Eyce Karmina

La doc est assez peu claire en effet, ça fait des années que je repousse la rédaction d'un document pour en expliquer le fonctionnement...

Je te déconseille les audit2allow, c'est bien pour créer une policy pour des services custom pour lesquels les dev n'ont pas fait le taf, mais pour un soucis de dnf sur une fedora neuve, c'est probablement une mauvaise idée.

Merci pour les retours.
Au final, j'ai trouvé plus précisément la cause, un script lancé par une app tierce (Sunshine) lors de son update via dnf (et comme elle est souvent mise à jour avec le système, c'est un peu chiant vu le temps que ça prend à mouliner dans le vide). Je vais voir si je lui crée pas une policy du coup, mais je comprends mieux le blocage.

Citation :

Publié par PatNyck

SELinux avait un intérêt sur les serveurs à une époque pour isoler les applications entre elles. Un peu l'équivalent des « project » sur Solaris. Sur une machine desktop ça n’a que peu d'interêt.

C’est une fonctionnalité qui a toujours été délicate à mettre en oeuvre. Maintenant, c’est bien plus facile d’isoler les applications en faisant du docker ou assimilé.

Oui je me posais la question de l'utilité d'autant de sécurité pour mon usage, mais comme c'est activé par défaut et que des personnes plus qualifiées que moi l'ont jugé nécessaire, autant le laisser et apprendre à m'en servir.

Sans transition, vous utilisez quoi comme fs pour un disque de données qui sert à la fois sous Linux et Windows ? Je m'étais pas trop posé de question et j'ai formaté en exFat mais je viens de me rendre compte que Windows ne voyait pas les derniers fichiers créés via une session Linux, je suis obligé de faire un chkdsk pour les voir apparaître. Du coup je suis pas hyper confiant dans la fiabilité de ce fs.
Après ça me laisse plus beaucoup de choix, et après une recherche rapide, j'ai l'impression qu'il vaut mieux opter pour du ntfs, les drivers sous linux étant mature, alors que l'inverse (du ext4 sous windows) n'a pas l'air fou.

[Eyce Karmina]

J'ai pas cet usage, mais je serais parti également sur de l'exfat vu que mes cartes SD le sont déjà (comme je n'ajoute pas de fichier le problème ne risque pas de se poser).
Tu démontes correctement ton volume ?

[Dr. Troy]

Citation :

Publié par Eyce Karmina

J'ai pas cet usage, mais je serais parti également sur de l'exfat vu que mes cartes SD le sont déjà (comme je n'ajoute pas de fichier le problème ne risque pas de se poser).
Tu démontes correctement ton volume ?

C'est un volume interne monté classiquement via fstab, j'imagine qu'il est démonté proprement à l'extinction. J'ai pas l'air d'être le seul dans ce cas, l'inverse (quand j'écris depuis Windows) n'a pas l'air de se produire.
Après tests, le ntfs est pas franchement folichon en écriture sous Linux, je vais rester comme ça en attendant et voir si c'est vraiment contraignant avec mon usage.

[Eyce Karmina]

Tu peux faire un test d'umount manuel pour voir dans les logs si il n'y a pas de soucis (après avoir ajouté des fichiers).
Genre si c'est long manuellement, lors d'un shutdown ça peut donner un timeout/abort pour éviter un blocage.

[Dr. Troy]

Citation :

Publié par Eyce Karmina

Tu peux faire un test d'umount manuel pour voir dans les logs si il n'y a pas de soucis (après avoir ajouté des fichiers).
Genre si c'est long manuellement, lors d'un shutdown ça peut donner un timeout/abort pour éviter un blocage.

Aucun souci de ce côté la mais maintenant que tu le dis, avant de l'avoir mis dans mon fstab, je le faisais avec udisks - juste que je trouve ça plus rapide que de faire toutes les commandes -, possible que je redémarrai sans démonter, mais bon c'est pas exotique non plus.
Le cas de figure ne se présente pas tout le temps, et puis j'ai fait un bête script powershell sous Windows pour lancer le chkdsk si jamais je retrouve pas un fichier récent, je ferai comme tout le monde et je me reposerai la question quand j'aurai perdu un fichier important