32254 2016-07-07 13:46:56 +0300 Политика не грузится с policycoreutils >= 2.4 2018-11-13 19:31:27 +0300 1 1 4 Development Sisyphus selinux-policy-altlinux unstable all Linux CLOSED FIXED P3 normal --- 1 boyarsh rider aen boyarsh evg rider sem vseleznv vseleznv zerg qa-sisyphus oldest_to_newest 157587 0 boyarsh 2016-07-07 13:46:56 +0300 Политика не грузится в окружении текущего Сизифа/p8 Ну, во первых, ему фактически нужен policycoreutils-devel, что не вполне правильно, но даже если его поставить, возникают проблемы вида: Unable to resolve name: system_u Failed to resolve filecon statement at 174 of /var/lib/selinux/altlinux/tmp/modules/400/base/cil Failed to resolve ast semodule: Failed! 157588 1 boyarsh 2016-07-07 13:52:10 +0300 PS эта ошибка возникает при установке пакета. PS1 если поставить пакет, например, на c7, а потом сделать dist-upgrade до Сизифа -- работает 157675 2 vseleznv 2016-07-18 18:19:49 +0300 Для Сизифа/p8: Из пакета policycoreutils-devel требуется /usr/libexec/selinux/hll/ для установки selinux-policy-altlinux. Вероятно, её стоит перенести в файлы пакета policycoreutils. С остальными ошибками сейчас разбираюсь. 157676 3 zerg 2016-07-18 18:53:37 +0300 /usr/libexec/selinux/hll/ я сейчас перенесу. Полагал, это для разработки только. 158593 4 vseleznv 2016-09-14 23:39:16 +0300 Последний не-апстримный коммит [1], с которым работает selinux-policy-altlinux. Апстримный коммит, в котором ломаются полиси, находится где-то между [1] и [2] коммитами. Продолжу исследования. [1] http://git.altlinux.org/gears/p/policycoreutils.git?p=policycoreutils.git;a=commit;h=063837a8c5c69289438135587f1a67fef87ba69a [2] http://git.altlinux.org/gears/p/policycoreutils.git?p=policycoreutils.git;a=commit;h=d442b3651354c109ec408fbbe4df6c9789372391 158665 5 vseleznv 2016-09-19 16:26:48 +0300 Последний апстримный коммит [1], который собирается в окружении c7. Осталось примерно 50 коммитов, которые не собираются в окружениях c7 или Sisyphus или из-за компилятора, или из-за несоответствии версии libselinux. Продолжу исследования. [1] http://git.altlinux.org/gears/p/policycoreutils.git?p=policycoreutils.git;a=commit;h=ac33098a807671204720aae97d6bcf6429d3fa92 158666 6 vseleznv 2016-09-19 16:42:44 +0300 Уточнение: собирается и политика грузится. 158671 7 rider 2016-09-19 18:19:57 +0300 Зерг, я не понял, ты же вроде это чинил ? 158681 8 zerg 2016-09-20 12:01:43 +0300 (В ответ на комментарий №7) > Зерг, я не понял, ты же вроде это чинил ? AFAIK уже нет. 158770 9 6823 vseleznv 2016-09-26 18:58:51 +0300 Created attachment 6823 context__contains.patch 158771 10 vseleznv 2016-09-26 19:04:37 +0300 Последний коммит [1], с которым политики загружаются, в следующем коммите [2] semodule сегфолтится при попытке их загрузить. Чистые коммиты не собираются, для их сборки необходимо наложить патч (во вложении). [1] http://git.altlinux.org/gears/p/policycoreutils.git?p=policycoreutils.git;a=commit;h=aea047c76904a907c0acb15ab4a6399ffe32dd63 [2] http://git.altlinux.org/gears/p/policycoreutils.git?p=policycoreutils.git;a=commit;h=e37fa2f63be89afab9b5f5ddfedbd589d0676c4e 158778 11 rider 2016-09-27 08:34:02 +0300 А что говорит апстрим на это ? Ну сегфолт видимо является следствием того, что наша политика лежит в /etc, а не в /var. 158858 12 vseleznv 2016-09-29 16:47:28 +0300 > Ну сегфолт видимо является следствием того, что наша политика лежит в /etc, а не в /var. Не совсем. Причина сегфолта пока непонятна. Правила из /etc/selinux/altlinux/modules/ в /var/lib/selinux/altlinux/ нужно перекладывать как раз в версии policycoreutils-2.4, т.е. тот, что в p8/Sisyphus. И если их туда положить, то при их загрузке также происходит сегфолт (как и в случае того коммита). Пока продолжаю исследования. P.S. Я в #4 (https://bugzilla.altlinux.org/show_bug.cgi?id=32254#c4) написал, что с версией 2.3 наши политики работают. Это неправда. Тоже происходит сегфолт. 158863 13 vseleznv 2016-09-29 17:25:01 +0300 Точнее, с policycoreutils 2.4 не сегфолтятся, а не загружаются правила с известной диагностикой. 158874 14 vseleznv 2016-09-29 20:08:38 +0300 Ан-нет, с версией policycoreutils 2.3 политики загружаются #4. 159476 15 boyarsh 2016-10-26 11:50:19 +0300 Правильно ли я понимаю, что, хотя задача была в целом решена, пакет в Сизиф/p8 собран не был? 159481 16 aen 2016-10-26 12:23:43 +0300 Я его видел в eperm. 159492 17 vseleznv 2016-10-26 16:30:53 +0300 task #170252 Он был в Eperm, сейчас он снова стал NEW. Отправил на сборку. 159493 18 rider 2016-10-26 16:59:18 +0300 Если его кто-то протестировал, то я могу заапрувить. 159494 19 rider 2016-10-26 17:12:24 +0300 Downgrade это всё-таки не решение задачи. Нам всё равно неминуемо придётся переходить на более новые версии libselinux и policycoreutils. Ещё есть время разобраться в корне проблемы и исправить её. 159495 20 aen 2016-10-26 17:18:49 +0300 (In reply to comment #19) > Downgrade это всё-таки не решение задачи. Нам всё равно неминуемо придётся > переходить на более новые версии libselinux и policycoreutils. Ещё есть время > разобраться в корне проблемы и исправить её. Сперва надо зафиксировать работающую версию. Конечно, проблем много и двигаться вперед нужно. 159496 21 rider 2016-10-26 17:20:46 +0300 работающая версия в p7 зафиксирована. 159497 22 rider 2016-10-26 17:24:01 +0300 Владимир, вы пробовали собирать версию 2.6 ? https://github.com/SELinuxProject/selinux/wiki/Releases 159498 23 aen 2016-10-26 17:28:22 +0300 (In reply to comment #21) > работающая версия в p7 зафиксирована. Меня интересует сейчас фиксация в Сизифе и p8. Остальное -- не предмет обсуждения в этой баге. 159499 24 vseleznv 2016-10-26 17:42:48 +0300 > Владимир, вы пробовали собирать версию 2.6 ? Нет. Она вышла недавно. Можно попробовать. Мне тоже даунгрейд не нравится, но я сомневаюсь, что в 2.6 правила заработают; правильнее было бы конечно правила переписать. Но лучше проверить. 159500 25 rider 2016-10-26 17:48:04 +0300 А не работает только с нашими правилами ? Тогда это совсем просто должно быть. 159507 26 boyarsh 2016-10-27 13:22:47 +0300 (В ответ на комментарий №25) > А не работает только с нашими правилами ? Тогда это совсем просто должно быть. Возможно. Но сначала надо сделать чтоб оно работало здесь и сейчас. 159509 27 repository-robot 2016-10-27 14:02:17 +0300 policycoreutils-1:2.3-alt1 -> sisyphus: * Thu Sep 29 2016 Vladimir D. Seleznev <vseleznv@altlinux> 1:2.3-alt1 - downgraded due regression (closes: #32254) 159515 28 rider 2016-10-27 16:24:00 +0300 Антон, такие революции надо проводить не в Sisyphus а в стабильном бранче. Зачем оно понадобилось тебе в Sisyphus - я не понимаю. Обнови в бранче, после этого я соберу 2.6. 159516 29 repository-robot 2016-10-27 17:41:49 +0300 policycoreutils-1:2.3-alt1 -> p8: * Thu Sep 29 2016 Vladimir D. Seleznev <vseleznv@altlinux> 1:2.3-alt1 - downgraded due regression (closes: #32254) 159530 30 rider 2016-10-27 21:46:54 +0300 refpolicy c 2.6 грузится, policy-altlinux - нет. Проблема где-то в политике. 159531 31 rider 2016-10-27 21:47:19 +0300 Забрал на себя 159532 32 rider 2016-10-27 22:36:14 +0300 Загрузка обламывается на этих строчках (если читать CIL, на который как раз ругается): (filecon "HOME_DIR" symlink (system_u object_r def_t ((s0) (s0)))) (filecon "HOME_DIR" dir (system_u object_r def_t ((s0) (s0)))) (filecon "HOME_DIR/.+" any (system_u object_r def_t ((s0) (s0)))) (filecon "HOME_ROOT" any (system_u object_r home_root_t ((s0) (s0)))) Судя по всему ошибка в политике была всегда, просто новые policycoreutils научились её обрабатывать. По крайней мере код, который пишет Failed to resolve %s statement появился вместе с компилятором CIL в коммите bb0f8beff890195cfd459c67230c6130c86b3214 policycoreutils. 159551 33 rider 2016-10-28 16:09:28 +0300 В общем это ошибка копипаста - в нашей политике не используется system_u и home_root_t, соответственно их никто не объявляет, отсюда и проблемы. Эти строчки просто не нужны, старый policycoreutils игнорировал синтаксические ошибки, новый стал на них ругаться. И ещё раз просьба к Владимиру и Антону - прежде чем делать глупости - посоветуйтесь с более опытными коллегами, тем более вы оба не является ментейнерами подсистемы selinux и отправлять пакеты без согласования по крайней мере не красиво, а в данном случае ещё и некорректное применение прав git_root 175753 34 rider 2018-11-13 19:31:27 +0300 сейчас всё грузится на текущем sisyphus и c8/p8 6823 2016-09-26 18:58:51 +0300 2016-09-26 18:58:51 +0300 context__contains.patch context__contains.patch text/plain 408 vseleznv ZGlmZiAtLWdpdCBhL3BvbGljeWNvcmV1dGlscy9tY3N0cmFucy9zcmMvbWNzY29sb3IuYyBiL3Bv bGljeWNvcmV1dGlscy9tY3N0cmFucy9zcmMvbWNzY29sb3IuYwppbmRleCBmZGI3MDQ4Li5hMzEx YWRhIDEwMDY0NAotLS0gYS9wb2xpY3ljb3JldXRpbHMvbWNzdHJhbnMvc3JjL21jc2NvbG9yLmMK KysrIGIvcG9saWN5Y29yZXV0aWxzL21jc3RyYW5zL3NyYy9tY3Njb2xvci5jCkBAIC0xMSw2ICsx MSw3IEBACiAjaW5jbHVkZSA8c3lzbG9nLmg+CiAjaW5jbHVkZSA8c2VsaW51eC9zZWxpbnV4Lmg+ CiAjaW5jbHVkZSA8c2VsaW51eC9jb250ZXh0Lmg+CisjaW5jbHVkZSA8c2VsaW51eC9hdl9wZXJt aXNzaW9ucy5oPgogI2luY2x1ZGUgIm1jc3RyYW5zLmgiCiAKIC8qIERlZmluZSBkYXRhIHN0cnVj dHVyZXMgKi8K