Bug 81 - [SELinux]修改selinux状态为enforcing,重启后设备不能正常启动
Summary: [SELinux]修改selinux状态为enforcing,重启后设备不能正常启动
Status: CONFIRMED
Alias: None
Product: Anolis OS 8
Classification: Anolis OS
Component: kernel - anck-4.19 (show other bugs) kernel - anck-4.19
Version: 8.2
Hardware: loongarch Linux
: P2-High S2-major
Target Milestone: ---
Assignee: tj
QA Contact: shuming
URL:
Whiteboard:
Keywords:
Depends on:
Blocks: 218
  Show dependency tree
 
Reported: 2021-12-15 14:47 UTC by 云霭
Modified: 2022-06-17 11:46 UTC (History)
4 users (show)

See Also:

Attachments
selinux_fail (119.56 KB, image/jpeg)
2021-12-15 14:47 UTC, 云霭 		Details
kernel-config (1.09 MB, image/jpeg)
2021-12-28 17:43 UTC, geliwei-ali 		Details
log output (92.39 KB, image/jpeg)
2022-01-07 16:53 UTC, 云霭 		Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description 云霭 2021-12-15 14:47:33 UTC 
Created attachment 16 [details]
selinux_fail

【缺陷描述】
修改selinux状态为enforcing,重启后设备不能正常启动

【重现环境】
云上ecs,x86_64
Anolis OS release 8.2
4.19.91-24.8.an8.x86_64

【重现步骤】
getenforce # 查看当前状态
sed -i "s/SELINUX=disabled/SELINUX=enforcing/g" /etc/selinux/config
reboot

【重现概率】
必现

【期望结果】
设备正常启动

【实际结果】
vnc连接设备,显示结果见附件
Comment 1 xugangjian alibaba_cloud_group 2021-12-23 21:05:33 UTC 
【缺陷描述】
修改selinux状态为enforcing,重启后设备不能正常启动

【重现环境】
物理环境 :30.240.156.103  
loongarch64
Anolis OS rc1 8.4
4.19.190-3.an8.loongarch64

【重现步骤】
getenforce # 查看当前状态
sed -i "s/SELINUX=disabled/SELINUX=enforcing/g" /etc/selinux/config
reboot

【重现概率】
必现

【期望结果】
设备正常启动

【实际结果】
selinux 无法enable
Comment 2 geliwei-ali 2021-12-28 17:13:14 UTC 
所以这个到底是anck的问题 还是龙芯的问题?
Comment 3 geliwei-ali 2021-12-28 17:42:30 UTC 
查了一下内核配置 CONFIG_DEFAULT_SECURITY_DAC 开启而不是CONFIG_DEFAULT_SECURITY_SELINUX
Comment 4 geliwei-ali 2021-12-28 17:43:24 UTC 
Created attachment 55 [details]
kernel-config
Comment 5 xugangjian alibaba_cloud_group 2021-12-28 20:08:35 UTC 
立伟
在 Anolis OS 8.4 龙芯版 环境上,也存在同样的问题,修改selinux状态为enforcing后无法正常启动,我已经查询开单子了,和这个区分开:https://bugzilla.openanolis.cn/show_bug.cgi?id=218
Comment 6 Shiloong admin 2021-12-31 14:48:33 UTC 
@xugangjian
有更多的 log 吗? 比如启动失败的内核 log? 看看失败在哪里
Comment 7 Shiloong admin 2021-12-31 14:57:59 UTC 
从报错的 log 看是分配置什么系统资源失败了, 启动停止.
可能是 console log 级别的问题, 没有更多的 log 显示究竟是分配什么资源, 因为什么分配失败.

@ylsong
帮忙调整一下系统 consolelog 看看能否打出更多的信息:
grubby --args="console=hvc0 loglevel=7" --update-kernel=AlL
试试能否打出更多的内核信息.
Comment 8 云霭 2022-01-07 16:53:43 UTC 
Created attachment 93 [details]
log output

输入提供的命令之后,打印如附件所示,之后就灰屏了
Comment 9 葛立伟 alibaba_cloud_group 2022-01-14 11:16:46 UTC 
添加启动参数 security=selinux 强制使用selinux 模式,这个应该管用 ,我看内核里selinux 确实也有
Comment 10 maqiao_mq alibaba_cloud_group 2022-06-17 11:33:54 UTC 
目前状态:
龙芯上配置SELINUX=enforcing之后,重启之后发现selinux并没有enable,目前已经通过修改cmdline(security=selinux)的方法fix了。

但是,在ECS上,配置SELINUX=enforcing之后,机器无法正常启动。目前怀疑是内核配置CONFIG_DEFAULT_SECURITY_DAC的问题,需要继续跟进。