selinux关闭的情况下，upatch服务启动失败

**【标题描述】selinux关闭的情况下，upatch服务启动失败**

**一、缺陷信息**

```
[root@2203sp2-85 ~]# /usr/bin/upatchd
[2024-04-09 10:13:13.068091] [INFO] [upatchd] ================================
[2024-04-09 10:13:13.069431] [INFO] [upatchd] Upatch Daemon - 1.2.1-g8c09e8b
[2024-04-09 10:13:13.069466] [INFO] [upatchd] ================================
[2024-04-09 10:13:13.069478] [INFO] [upatchd] Start with Arguments {
    daemon: false,
    config_dir: "/etc/syscare",
    work_dir: "/var/run/syscare",
    log_dir: "/var/log/syscare",
    log_level: Info,
}
[2024-04-09 10:13:13.069535] [INFO] [upatchd] Initializing skeleton...
[2024-04-09 10:13:13.069699] [INFO] [upatchd] Using elf mapping: {
    "/usr/bin/c++": "/usr/libexec/syscare/c++-hijacker",
    "/usr/bin/cc": "/usr/libexec/syscare/cc-hijacker",
    "/usr/bin/gcc": "/usr/libexec/syscare/gcc-hijacker",
    "/usr/bin/g++": "/usr/libexec/syscare/g++-hijacker",
    "/usr/bin/as": "/usr/libexec/syscare/as-hijacker",
}
[2024-04-09 10:13:13.069783] [INFO] [upatchd] Installing kernel module 'upatch_hijacker'...
[2024-04-09 10:13:13.069844] [ERROR] [upatchd] Error: Failed to initialize skeleton

Caused by:
    0: Failed to initialize hijacker
    1: Cannot get path /usr/libexec/syscare/upatch_hijacker.ko xattr security.selinux, no data available (os error 61)
[2024-04-09 10:13:13.069888] [ERROR] [upatchd] Daemon exited unsuccessfully

```

分析记录：
林孟孟(00455942) 2024-04-15 10:30
这个问题单里面，关闭是指selinux的状态是Disabled吗
Disabled的情况下，upatch一定会启动失败吗
刘晓波(00453303) 2024-04-15 10:31
原场景是Disabled
刘晓波(00453303) 2024-04-15 10:33
它问题的原因是我尝试直接去设置了upatch-hijacker.ko的security context（不设置启用selinux的状态下会加载不了），但是如果在selinux没有启用的情况下，这个动作会失败，就直接报错退出了。
修改方式是在做这个动作前判断了一下selinux状态，如果为Enforce才会去写这个值
林孟孟(00455942) 2024-04-15 10:34
那不设置这个security context会有什么后果吗？按照你修改的逻辑，会出现有时改，有时没改的情况
林孟孟(00455942) 2024-04-15 10:35
就像上面那个补丁，就得设置为非Enforce
刘晓波(00453303) 2024-04-15 10:39
security context是selinux的文件系统属性标签，它是文件的一个属性，如果没有设置正确会导致权限不足，文件加载不了，某些操作受限等等。
这个security context和selinux规则都是每个软件自己配置的，syscare只能修改自己相关的文件属性，修改其他软件的可能会导致安全风险。
因此例如systemd啥的其他软件的规则我们就修改不了，openssl那个热补丁会影响systemd，所以在给systemd打热补丁的时候就会失败，因此验证的时候只能把selinux设置为permissive。
刘晓波(00453303) 2024-04-15 10:41
我们之前改的upatch-hijiacker.ko是我们自己的ko，包括其他内核热补丁的ko，在启用selinux的状态下，加载热补丁前都会检查并且修改这个属性。
林孟孟(00455942) 2024-04-15 10:42
我其实是想表达，如果用户一开始就把环境的selinux关掉了，设置成permissive或者disable，那不设置upatch-hijacker.ko的security context会不会影响正常功能
刘晓波(00453303) 2024-04-15 10:43
不会，因为我们每次启动都会检查
林孟孟(00455942) 2024-04-15 10:43
因为在实际验证的时候，我都是直接设置为permissive的
林孟孟(00455942) 2024-04-15 10:46
那就是，selinux设置成Enforce时，会设置upatch-hijiacker.ko的文件属性，保证权限正确；如果设置成非Enforce，就什么都不做，此时正常功能也不会受影响
刘晓波(00453303) 2024-04-15 10:47
对的，这个security context只对selinux起作用~

openEuler/syscare

内容风险标识

评论 (1)

openEuler/syscare .gitee-modal { width: 500px !important; }

内容风险标识