режим mls selinux забрал у меня все права root

Вопрос или проблема

[root@design var]# setenforce 0
setenforce: security_setenforce() не удалось: Доступ запрещен

некоторые файлы (файл shadow ???)<br>
drwxr-xr-x. 3 root root 4096 Nov 14 12:00 sgml<br>
-?????????? ? ? ? ? ? shadow<br>
-?????????? ? ? ? ? ? shadow-<br>
-rw-r--r--. 1 root root 44 Jun 23 2020 shells<br>
drwxr-xr-x. 2 root root 4096 Sep 23 12:59 skel<br>
-?????????? ? ? ? ? ? sudoers<br>
drwxr-x---. 2 root root 4096 Nov 10 21:05 sudoers.d

.

Ответ или решение

Проблема: Режим MLS в SELinux ограничил возможности root

Проблема, которую вы описали, связана с тем, что SELinux работает в режиме MLS (Multi-Level Security), что может серьезно ограничить ваши возможности даже в качестве пользователя root. Давайте разберем происхождение этой ситуации и возможные пути ее решения.

1. Понимание MLS-модели SELinux

Модель безопасности SELinux предоставляет механизмы, которые контролируют доступ к ресурсам на уровне политик. Режим MLS активно использует многослойную безопасность, где объекты и субъекты имеют определенные уровни и категории. Это может привести к ситуациям, когда даже root может не иметь доступа к определенным файлам или командам, если его уровень или категории не соответствуют требованиям безопасности.

2. Проблемы с доступом

Ваши попытки выполнить команду setenforce 0 для временного переключения SELinux в режим permissive не удались, так как возникают ошибки Permission denied. Это означает, что ваши полномочия, даже как суперпользователя, не позволяют осуществлять изменение параметров SELinux.

Ошибки в выводе команды, где файлы отображаются как -??????????, указывают на то, что доступ к этим файлам ограничен. Это может касаться таких критических файлов, как /etc/shadow и /etc/sudoers, которые являются важными для аутентификации и управления привилегиями.

3. Рекомендации по восстановлению доступа

Для восстановления доступа к необходимым функциям выполните следующие шаги:

1. Перезагрузка в аварийный режим:

   • Если вы не можете изменить настройки SELinux, то один из вариантов — это перезагрузить систему и загрузиться в аварийном режиме (recovery mode). Это позволит вам войти в систему с минимальными привилегиями и без применения политик SELinux.

2. Изменение конфигурации SELinux:

   • После загрузки в аварийном режиме вы можете отредактировать файл конфигурации SELinux, который обычно находится по пути /etc/selinux/config. Измените строку SELINUX=mls на SELINUX=disabled, чтобы отключить SELinux полностью. Не забудьте перезагрузить систему для применения изменений.

3. Восстановление контроля над файлами:

   • Если проблема с доступом к важным файлам остается, используйте команды chcon и restorecon, чтобы восстановить контексты безопасности для файлов, которые стали недоступными. Это может быть сложной задачей, так как нужны знания о правильных метках безопасности.

4. Установка и настройка:

   • Убедитесь, что все необходимые пакеты и инструменты для управления SELinux установлены на вашей системе. Для этого можно использовать пакетный менеджер, например, yum или apt, в зависимости от вашей дистрибуции.

4. Заключение

Работа в режиме MLS может быть необходима для соблюдения строгих стандартов безопасности, однако она также может привести к серьезным ограничениям для пользователей, включая root. Важно иметь хорошо продуманные политические стратегии и следить за их соблюдением.

Если проблемы продолжатся и вы не сможете устранить их самостоятельно, рекомендуется обратиться к специалистам по безопасности, которые могут провести анализ и помочь восстановить нормальный уровень доступа к системе.

Надеюсь, эти рекомендации окажутся полезными в вашей ситуации.