Как восстановить контекст SELinux для домашнего каталога?

Вопрос или проблема

type=AVC msg=audit(1730469601.380:2566): avc:  denied  { write } for 
pid=3495014 comm="pool-tumblerd" name="normal" dev="sda5"
ino=91488302 scontext=unconfined_u:unconfined_r:thumb_t:s0-
s0:c0.c1023 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir permissive=0

SELinux не позволяет /usr/lib64/tumbler-1/tumblerd доступ к записи в каталог normal.

sudo semanage fcontext -a -t home_root_t "/home/kuba(/.*)?"

sudo semanage fcontext -a -t user_home_t "/home/kuba(/.*)?"

## эта команда вызывает ошибку
sudo semanage fcontext -a -t thumb_t "/home/kuba(/.*)?"

sudo restorecon -Rv /home/kuba

Ответ или решение

Как восстановить контекст SELinux для домашнего каталога

Введение

Проблемы с SELinux могут возникать на системах Fedora, особенно после обновлений и установок. Когда вы обновляете систему, часто происходит изменение в контексте безопасности, который SELinux накладывает на файлы и каталоги. В вашем случае, после неудачного обновления с версии 35 на 41 и последующей установке новой версии, возникают проблемы с доступом к каталогу /home/kuba.

Понимание проблемы

Ошибка, которую вы увидели, указывает на то, что процесс tumblerd не имеет разрешения на запись в каталог "normal" в вашем домашнем каталоге. Эти ошибки возникают из-за неверных контекстов SELinux, которые были присвоены файлам и каталогам. Основные понятия SELinux здесь включают:

• scontext (source context): контекст исходящего процесса.
• tcontext (target context): контекст цели, в данном случае каталог.
• tclass (target class): класс объекта, которым происходит доступ (в данном случае директорий).

Решение проблемы

Чтобы восстановить правильные контексты SELinux для вашего домашнего каталога, выполните следующие шаги:

1. Проверка текущего контекста: Чтобы понять, какие контексты назначены вашим файлам, используйте команду:

   ls -Z /home/kuba

2. Правильное назначение контекста: Убедитесь, что правильные контексты SELinux установлены для вашего домашнего каталога. Обычно это user_home_t. Вы уже пытались это сделать, однако рекомендуется проверить, что контекст не был изменен для основного каталога:

   sudo semanage fcontext -a -t user_home_t "/home/kuba(/.*)?"

3. Применение изменений: После назначения контекста SELinux, нужно применить изменения на файловой системе:

   sudo restorecon -Rv /home/kuba

4. Проверка AVCP: При выполнении вышеуказанных действий, следите за сообщениями SELinux с помощью команды ausearch:

   ausearch -m avc -ts recent

5. Решение дополнительных ошибок: Если после выполнения шагов ошибка с thumb_t остается, это указывает на внезапную проблему, возможно, с установленным программным обеспечением. Вы можете настроить контекст для конкретного приложения:

   sudo semanage fcontext -a -t thumb_t "/home/kuba/ВашКаталог(/.*)?"
   sudo restorecon -Rv /home/kuba/ВашКаталог

6. Перезапуск службы: Для того чтобы изменения вступили в силу, перезапустите соответствующие службы, например, tumblerd. Можно использовать:

   systemctl restart tumblerd.service

Заключение

Настройка правильного контекста SELinux является важной частью управления безопасностью в вашей системе. Если указанные методы не решают вашу проблему, возможно, потребуется детальный анализ логов SELinux и корректировка конфигураций. Может быть полезно также обратиться к сообществу Fedora за дополнительными советами или специальными инструкциями. Следите за безопасностью вашего окружения, используя SELinux, и избегайте проблем, связанных с доступом к важным файлам и каталогам.