[HaBo]

bivg · 31.03.09, 17:46

Hallo!

Ich bin seit ein paar Sekunden "dabei" und schreibe gerade meinen ersten Post. Deswegen nochmal ein ganz offizielles "Hallo" an Alle!

So, und damit zu meinem Problem: ich habe hier ein (nahezu frisch installiertes) fedora 10 (Gnome, 64-Bit). Nun wollte ich via CUPS (localhost, Port 631) einen Netzwerkdrucker hinzufügen. Nachdem ich mir die passende Treiberdatei bei der LinuxFoundation besorgt und installiert habe, konnte ich diesen auch einwandfrei einrichten. Doch immer wenn ich drucken will, meldet sich SELinux mit folgender Fehlermeldung (Zusammenfassung):

Code:

SELinux hindert cupsd (cupsd_t) "execute_no_trans" am Zugriff auf /opt/OpenPrinting-Gutenprint/cups/lib/filter/rastertogutenprint.5.2 (lib_t).

Ich habe danach unter System -> Administration -> Firewall -> Vertraute Dienste ein Haken bei "Netzwerk-Printing Client" und "Netzwerk-Printing Server gesetzt". Allerdings ohne Erfolg. Und selbst wenn ich SELinux über den Button deaktiviere, kommt die gleiche Fehlermeldung bei jedem Druckversuch (auch nach einem Neustart des Systems).

Deswegen meine Frage, ob ich da überhaupt an den richtigen Einstellungen drehe. Es gibt unter System - > Administration ja auch noch den Eintrag "SELinux Management". Allerdings verstehe ich die dortigen Möglichkeiten nicht.
Und da eine Firewall ja eigentlich nicht schaden kann, währe natürlich die Lösung, dass einfach CUPS drucken darf, ich die Firewall aber nicht komplett deaktivieren muss, optimal.

Vielen Dank im Voraus!

---
Edit 1: gelöst

**bitmuncher** · 31.03.09, 20:57

Der Fehlermeldung nach würde ich erstmal tippen, dass die Datei nicht zum cupsd_t-Kontext-Typ gehört. Also wirst du sie hinzufügen müssen:

Code:

chcon -t cupsd_t /opt/OpenPrinting-Gutenprint/cups/lib/filter/rastertogutenprint.5.2

Anzeige

- Anzeige -

bivg · 31.03.09, 21:28

Wenn ich das

Zitat:

Original von bitmuncher

Code:

chcon -t cupsd_t /opt/OpenPrinting-Gutenprint/cups/lib/filter/rastertogutenprint.5.2

(als su) ausführen will, meldet sich die Konsole mit

Code:

chcon: konnte Kontext von ?/opt/OpenPrinting-Gutenprint/cups/lib/filter/rastertogutenprint.5.2? nicht in ?system_u:object_r:cupsd_t:s0? ändern: Keine Berechtigung

und SELinux mit der bekannten Fehlermeldung.

**bitmuncher** · 31.03.09, 22:04

Was sagt denn 'ls -lZ /opt/OpenPrinting-Gutenprint/cups/lib/filter/'? Und was gibt dir 'whoami' aus, bevor du den Befehl absetzt?

bivg · 31.03.09, 22:09

Zitat:

Original von bitmuncher
Was sagt denn 'ls -lZ /opt/OpenPrinting-Gutenprint/cups/lib/filter/'?

Code:

-rwxr-xr-x  root root system_u:object_r:lib_t:s0       commandtocanon
-rwxr-xr-x  root root system_u:object_r:lib_t:s0       commandtoepson
-rwxr-xr-x  root root system_u:object_r:lib_t:s0       rastertogutenprint.5.2

Zitat:

Original von bitmuncher
Und was gibt dir 'whoami' aus, bevor du den Befehl absetzt?

Code:

root

Sorry, wie ich gerade gesehen habe, unterscheidet sich die Fehlermeldung von SELinux doch beim Ausführen des Befehls von bitmuncher. K.A. warum mir das nicht aufgefallen ist...

Auf jeden Fall lautet Sie in dem Bezug:

Code:

SELinux hindert chcon (unconfined_t) "relabelto" am Zugriff auf ./rastertogutenprint.5.2 (cupsd_t).

Danke soweit schon mal für die Hilfe!

---
Edit 1: "Sorry, wie ich [...]" mit Fehlermeldung ergänzt
Edit 2: vergessenes "Edit 1" ergänzt

**bitmuncher** · 31.03.09, 22:22

Sorry, 'ls -laZ meinte ich. Der Security-Kontext und die Rechte des beinhaltenden Ordners (also ./) sind natürlich relevant, wenn dein User in diesem Ordner den Security-Kontext für Dateien nicht ändern kann. Und der wird nur mit '-a' von ls angezeigt. Hat der Ordner /opt/OpenPrinting-Gutenprint/cups/lib/filter/ das eXecutable-Flag und gehört root? Ist cupsd_t im Kontext system_u für Zugriffe berechtigt? Sonst musst du erst den cupsd-Benutzer zum Eigentümer der Datei machen.

Und ausserdem... Benötigst du SELinux zwingend? Wenn es sich um einen Desktop-Rechner handelt, solltest du der Einfachheit halber SE-Linux kernelseitig deaktivieren, sonst hast du das Problem bei jeder Installation, die nicht aus den Originalpaketen erfolgt. Einfach als Kernel-Parameter 'selinux=0' übergeben. Nach jeder Installation erstmal SELinux-Policies anpassen zu müssen ist ziemlich nervig.

bivg · 01.04.09, 10:31

Zitat:

Original von bitmuncher
Sorry, 'ls -laZ meinte ich. Der Security-Kontext und die Rechte des beinhaltenden Ordners (also ./) sind natürlich relevant, wenn dein User in diesem Ordner den Security-Kontext für Dateien nicht ändern kann. Und der wird nur mit '-a' von ls angezeigt.

Ok, jetzt weiß ich auch was ich da mache.

Die Ausgabe lautet dann:

Code:

drwxr-xr-x  root root system_u:object_r:lib_t:s0       .
drwxr-xr-x  root root system_u:object_r:lib_t:s0       ..
-rwxr-xr-x  root root system_u:object_r:lib_t:s0       commandtocanon
-rwxr-xr-x  root root system_u:object_r:lib_t:s0       commandtoepson
-rwxr-xr-x  root root system_u:object_r:lib_t:s0       rastertogutenprint.5.2

Zitat:

Original von bitmuncher
Hat der Ordner /opt/OpenPrinting-Gutenprint/cups/lib/filter/ das eXecutable-Flag und gehört root? Ist cupsd_t im Kontext system_u für Zugriffe berechtigt? Sonst musst du erst den cupsd-Benutzer zum Eigentümer der Datei machen.

Sorry, aber ich weiß weder wie ich das überprüfen kann, noch wie ich dann evtl. handeln muss. Kann das jemand nochmal genauer erklären?

Zitat:

Original von bitmuncher
Und ausserdem... Benötigst du SELinux zwingend?

K. A. Ich dachte sie zu haben wär' nicht schlecht (außerdem war sie standardmäßig aktiviert). Aber eigentlich hatte ich unter Debian/openSUSE ja auch keine...

Zitat:

Original von bitmuncher
Wenn es sich um einen Desktop-Rechner handelt, solltest du der Einfachheit halber SE-Linux kernelseitig deaktivieren, sonst hast du das Problem bei jeder Installation, die nicht aus den Originalpaketen erfolgt. Einfach als Kernel-Parameter 'selinux=0' übergeben. Nach jeder Installation erstmal SELinux-Policies anpassen zu müssen ist ziemlich nervig.

Deaktivieren über die GUI hat anscheinend nicht funktioniert (BUG?). Wie kann ich denn den Kernel-Paramater übergeben? Über grub beim Systemstart bzw. über die menu.lst?

**bitmuncher** · 01.04.09, 11:18

Du kannst den Kernel-Parameter einfach mittels Grub übergeben. Dazu die menu.lst anpassen und 'selinux=0' an die Kernel-Zeile anfügen.

Sinn macht die Nutzung von SELinux nur dann, wenn du eine erweiterte Sicherheit benötigst und Zugriffsrechte feiner granulieren musst. Das ist auf Desktops zumeist eher hinderlich, auf Servern aber äußerst nützlich.

bivg · 01.04.09, 16:02

Ok, mit dem Paramater "selinux=0" in der menu.lst wird SELinux dann auch wirklich deaktiviert. Und solange mich jetzt keiner fragt, wie ich es denn verantworten kann, Linux ohne SELinux zu starten, lass' ich es einfach bei der Lösung.

Und obwohl die Ursache jetzt noch nicht 100%ig geklärt/beseitigt ist, ist das Problem für mich erstmal gelöst. Ich hake den Thread jetzt also einfach mal ab.
Danke nochmals für die Hife!

Anzeige

- Anzeige -

31.03.09, 17:46	#1 (permalink)
bivg Registriert seit: 31.03.09 Likes: 0	SELinux (fedora 10): CUPS zulassen Anzeige Hallo! Ich bin seit ein paar Sekunden "dabei" und schreibe gerade meinen ersten Post. Deswegen nochmal ein ganz offizielles "Hallo" an Alle! So, und damit zu meinem Problem: ich habe hier ein (nahezu frisch installiertes) fedora 10 (Gnome, 64-Bit). Nun wollte ich via CUPS (localhost, Port 631) einen Netzwerkdrucker hinzufügen. Nachdem ich mir die passende Treiberdatei bei der LinuxFoundation besorgt und installiert habe, konnte ich diesen auch einwandfrei einrichten. Doch immer wenn ich drucken will, meldet sich SELinux mit folgender Fehlermeldung (Zusammenfassung): Code: SELinux hindert cupsd (cupsd_t) "execute_no_trans" am Zugriff auf /opt/OpenPrinting-Gutenprint/cups/lib/filter/rastertogutenprint.5.2 (lib_t). Ich habe danach unter System -> Administration -> Firewall -> Vertraute Dienste ein Haken bei "Netzwerk-Printing Client" und "Netzwerk-Printing Server gesetzt". Allerdings ohne Erfolg. Und selbst wenn ich SELinux über den Button deaktiviere, kommt die gleiche Fehlermeldung bei jedem Druckversuch (auch nach einem Neustart des Systems). Deswegen meine Frage, ob ich da überhaupt an den richtigen Einstellungen drehe. Es gibt unter System - > Administration ja auch noch den Eintrag "SELinux Management". Allerdings verstehe ich die dortigen Möglichkeiten nicht. Und da eine Firewall ja eigentlich nicht schaden kann, währe natürlich die Lösung, dass einfach CUPS drucken darf, ich die Firewall aber nicht komplett deaktivieren muss, optimal. Vielen Dank im Voraus! --- Edit 1: gelöst

31.03.09, 20:57	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Der Fehlermeldung nach würde ich erstmal tippen, dass die Datei nicht zum cupsd_t-Kontext-Typ gehört. Also wirst du sie hinzufügen müssen: Code: chcon -t cupsd_t /opt/OpenPrinting-Gutenprint/cups/lib/filter/rastertogutenprint.5.2 __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

31.03.09, 22:04	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Was sagt denn 'ls -lZ /opt/OpenPrinting-Gutenprint/cups/lib/filter/'? Und was gibt dir 'whoami' aus, bevor du den Befehl absetzt? __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

31.03.09, 22:22	#6 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Sorry, 'ls -laZ meinte ich. Der Security-Kontext und die Rechte des beinhaltenden Ordners (also ./) sind natürlich relevant, wenn dein User in diesem Ordner den Security-Kontext für Dateien nicht ändern kann. Und der wird nur mit '-a' von ls angezeigt. Hat der Ordner /opt/OpenPrinting-Gutenprint/cups/lib/filter/ das eXecutable-Flag und gehört root? Ist cupsd_t im Kontext system_u für Zugriffe berechtigt? Sonst musst du erst den cupsd-Benutzer zum Eigentümer der Datei machen. Und ausserdem... Benötigst du SELinux zwingend? Wenn es sich um einen Desktop-Rechner handelt, solltest du der Einfachheit halber SE-Linux kernelseitig deaktivieren, sonst hast du das Problem bei jeder Installation, die nicht aus den Originalpaketen erfolgt. Einfach als Kernel-Parameter 'selinux=0' übergeben. Nach jeder Installation erstmal SELinux-Policies anpassen zu müssen ist ziemlich nervig. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

01.04.09, 11:18	#8 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Du kannst den Kernel-Parameter einfach mittels Grub übergeben. Dazu die menu.lst anpassen und 'selinux=0' an die Kernel-Zeile anfügen. Sinn macht die Nutzung von SELinux nur dann, wenn du eine erweiterte Sicherheit benötigst und Zugriffsrechte feiner granulieren musst. Das ist auf Desktops zumeist eher hinderlich, auf Servern aber äußerst nützlich. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

01.04.09, 16:02	#9 (permalink)
bivg Themenstarter Registriert seit: 31.03.09 Likes: 0	Ok, mit dem Paramater "selinux=0" in der menu.lst wird SELinux dann auch wirklich deaktiviert. Und solange mich jetzt keiner fragt, wie ich es denn verantworten kann, Linux ohne SELinux zu starten, lass' ich es einfach bei der Lösung. Und obwohl die Ursache jetzt noch nicht 100%ig geklärt/beseitigt ist, ist das Problem für mich erstmal gelöst. Ich hake den Thread jetzt also einfach mal ab. Danke nochmals für die Hife!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
CUPS verbinden	blueflash	Linux/UNIX	1	01.02.07 16:59
Einsatzgebiet von SELinux	blueflash	Linux/UNIX	2	07.04.06 16:20
CUPS abschalten	jagdfalke	Linux/UNIX	4	07.09.05 23:39
Information über den Browser zulassen?	Stanly	(In)security allgemein	7	11.01.05 21:46
Internet zulassen für Gastkonto ???	nostradamus	Windows	3	18.11.03 21:47

[HaBo]

SELinux (fedora 10): CUPS zulassen