Bug 1549580 – SELinux prevents systemd-timesyncd from starting https://bugzilla.redhat.com/show_bug.cgi?id=1549580

@babukaru すーぐ 575

@afm えー

@afm Amazon とか Aliexpress でめっちゃ安いパーツ買って適当な中古屋に流せばええんちゃう

​

​

印刷していない新聞紙 アマゾンで販売され話題「引っ越し時に便利」 - ライブドアニュース http://news.livedoor.com/article/detail/15293215/

年賀はがきのノルマ廃止　日本郵便、自腹営業根絶へ　内部文書に方針（西日本新聞） - Yahoo!ニュース https://headlines.yahoo.co.jp/hl?a=20180914-00010000-nishinp-soci

This account is not set to public on notestock.

にゃあ

This account is not set to public on notestock.

現場猫めっちゃまえからふたばで定番化してた気がするけど本当急激に広範に流行った感がある

ベクター猫

Xperia XZ，2018/08/01 のセキュリティパッチ降ってきた

なぜか思い出した

Hey!Say!JUMP

This account is not set to public on notestock.

This account is not set to public on notestock.

異端審問経験者はいますか？居たら boost してください

This account is not set to public on notestock.

「魔女に与える鉄槌」という漫画があるらしい。私が言及したのは中世に編まれたドミニコ会から出た異端審問の手引書です

「魔女に与える鉄槌」が元ネタかな

This account is not set to public on notestock.

私は中高型で発音するけど OSC での感じは頭高型の人間が多い気がする > マストドンのアクセント

This account is not set to public on notestock.

中高型と頭高型と言い換えてもいい

新しいアクセント記号は、具体的にどんなことを表しているのでしょうか｜NHK放送文化研究所 https://www.nhk.or.jp/bunken/accent/faq/1.html

マスト＼ドンとマ＼ストドンってことかな

ねむいー。

もうちょっと頑張って /etc/localtime を symlink に戻した代わりに Docker コンテナの中のほうでちゃんと localtime 設定するようにしたのでこれで SELinux が何も文句言わなくなったし Chinachu のヘンな挙動も消えた気がする。大勝利。

無邪気に container_t にしちゃうと他で auditd がめっちゃエラー出す

あーこれだとダメだ

docker-compose で /etc/localtime を ro だけ付けてマウントしていたのを ro,z にして SELinux のラベルも付けて，それと /usr/share/zoneinfo/Asia/Tokyo への symlink になってた localtime を cp でファイルに置き換えるようにしたらとりあえず Chinachu が二重に録画エントリを作る不審な挙動消えた気がするので録画マシンを SELinux 有効状態に戻すことにした

BONG BONG BONG BONG BONG BONG BONG

SELinux のせいなのかたまたま mirakurun の調子が悪いのかなにもわからん

“七星のスバル”を生贄にして眺めてるのだけど，開始 2 分で mirakurun に error: TSFilter will closing because reached time limit of overflowing the buffer... と言われ Chinachu の Web UI で録画済になるもなぜかそのまま裏で録画はちゃんと続行できてる状態になっている

pmie_check だけ失敗してるけどまあこれは大丈夫でしょとか思ってたけどとりあえず pmie_check selinux とかで検索したら出てきた。この資料いいわね >> SELinuxの利用とポリシー作成 https://www.slideshare.net/moriwaka/selinux-79044279

様子見して大丈夫そうなら Enforcing に戻そ

いまちょっと audit2allow で chinachu 用にポリシを自動生成して適用してみたからこれで Enforcing して様子見するか

録画マシンで SELinux を Enforcing するの止めたのなんでか思い出した。なぜか chinachu で録画エントリが必ず二つ作られる（録画ファイル自体は正常だから困らないけど気持ち悪い）現象が発生してそれが SELinux が Enforcing されてることで起きてたからだったんだった

This account is not set to public on notestock.

PS4 - SDL 2.0 (unofficial) port for PS4 (liborbis) by psxdev | PSX-Place http://www.psx-place.com/threads/sdl-2-0-unofficial-port-for-ps4-liborbis-by-psxdev.20396/

Review:PS3/PS4 to Dreamcast Adapter - Hackinformer https://hackinformer.com/2018/07/17/reviewps3-ps4-to-dreamcast-adapter/

@afm そんなわけないデショ！って言いたいときに使うといいよ

ちゃんと restorecon でデフォルトのラベルをシステム全体に設定しなおしたらめっちゃまともになって安心した

サルミアッキコルケンコルヴァ

This account is not set to public on notestock.

restorecon してちゃんと SELinux の context 戻した褒めて

restorecon しわすれていたのが悪いのだけれども

秒単位で auditd のエラーが飛んできてログがまるで使い物にならない

This account is not set to public on notestock.

人々はシレっと Mac mini が store に乗るって信じてるよ

いま context の restore してるからマシになるといいなぁ

なんでこんな SELinux のエラー出てるかと思ったけどよくよく考えるとシステムのストレージを換えた後に restorecon -RF / してなかったからデフォルトのラベル付けがちゃんと反映されてなかった

This account is not set to public on notestock.

This account is not set to public on notestock.

笑顔

まあ SELinux を有効化するのは Red Hat 系前提かつ様々な service や server は docker の中で動作させるということにしたら結構簡単に使えるし setroubleshoot がわりと auditd からよしなに直してくれるので昔からするとかなり誰でも実用できるようになったんではなかろか

他に何がブロックされたっけな

録画 server は諸般の事情（OSv のビルドに使おうとしてたときがあった）から Fedora で一時期は SELinux も有効化してたけどたとえば docker pull が SELinux に殺されたりしてだんだん辛くなったので今は permissive です

まあ SELinux を使うにしても m4 で自力でポリシを書くなんてまずなくて，semanage コマンド使うとかあるいは setroubleshoot が半自動でポリシを修正したりしてくれるんではい

まあ Red Hat 系についてだけは Red Hat の並々ならない努力でデフォルトでもかなり SELinux 有効にしたままでちゃんと使えるようになってるんで，Red Hat 系を server にするときだけは SELinux を考慮してあげてください

そうなんですよ！

This account is not set to public on notestock.

TOMOYO や AppArmor はパス名ベースなので全部のファイルにラベリングするとかなくてあるパスにあるものはこういうアクセスをする，みたいな簡単なルールで制御するしたとえば TOMOYO なんかは学習モードにしておくとその間どういうプロセスがどういう資源にアクセスしたかを記憶してくれるのでそれを元にルールが半自動生成できる

一応リファレンスポリシーはあるからそれを改変する形にはなるけれども

とはいえ Linux のシステムにいくつディレクトリやそれぞれの service がこなす仕事やどの service がどのファイルにアクセスするかとかの組合せがあるねんって話でそれらを全部記述するの禿げる

一応ファイルに対するラベルはディレクトリごとにデフォルトのルールがあってその下のディレクトリに再帰的に適用されるとかはある

happy birthday?

This account is not set to public on notestock.

SELinux は ls -Z とかするとファイルに対するラベルが見えるんですが，そんな感じで全てのファイルとプロセスにラベルつけて周っていかないといけなくて，ラベルもユーザーを定義するラベルと，何ができるかというタイプのラベルと，それとロールのラベルがあって，これらの組合せのコンテキストを記述するみたいなポリシを m4 かなんかで記述する感じでアレ