Selinux freeze on boot

ragazzi ho dovuto disabilitare selinux da grub , la macchina non partiva.

failed to load selinux policy

tengo disabilitato selinux fino al prossimo update?
Non mi sono mai avventurato su questo terreno quindi non saprei cosa cercare nei journal :S

journalctl | grep AVC

mi restituisce :

mag 28 08:52:49 hellhound audit[557]: AVC avc: denied { read } for pid=557 comm=“systemd-modules” name=“SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c” dev=“efivarfs” ino=320 scontext=system_u:system_r:systemd_modules_load_t:s0 tcontext=system_u:object_r:efivarfs_t:s0 tclass=file permissive=0
mag 28 08:52:49 hellhound audit[557]: AVC avc: denied { read } for pid=557 comm=“systemd-modules” name=“SecureBoot-8be4df61-93ca-11d2-aa0d-00e098032b8c” dev=“efivarfs” ino=320 scontext=system_u:system_r:systemd_modules_load_t:s0 tcontext=system_u:object_r:efivarfs_t:s0 tclass=file permissive=0
mag 28 08:53:07 hellhound audit[1743]: AVC avc: denied { write } for pid=1743 comm=“tpacpi-bat” name=“call” dev=“proc” ino=4026532174 scontext=system_u:system_r:tlp_t:s0 tcontext=system_u:object_r:proc_t:s0 tclass=file permissive=0
mag 28 08:53:07 hellhound audit[1810]: AVC avc: denied { write } for pid=1810 comm=“tpacpi-bat” name=“call” dev=“proc” ino=4026532174 scontext=system_u:system_r:tlp_t:s0 tcontext=system_u:object_r:proc_t:s0 tclass=file permissive=0
mag 28 08:53:07 hellhound audit[982]: USER_AVC pid=982 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc: denied { send_msg } for scontext=system_u:system_r:tlp_t:s0 tcontext=system_u:system_r:NetworkManager_t:s0 tclass=dbus permissive=0
mag 28 08:53:07 hellhound audit[982]: USER_AVC pid=982 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc: denied { send_msg } for scontext=system_u:system_r:tlp_t:s0 tcontext=system_u:system_r:NetworkManager_t:s0 tclass=dbus permissive=0
mag 28 08:53:07 hellhound audit[982]: USER_AVC pid=982 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc: denied { send_msg } for scontext=system_u:system_r:tlp_t:s0 tcontext=system_u:system_r:NetworkManager_t:s0 tclass=dbus permissive=0
mag 28 08:53:07 hellhound audit[982]: USER_AVC pid=982 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc: denied { send_msg } for scontext=system_u:system_r:tlp_t:s0 tcontext=system_u:system_r:NetworkManager_t:s0 tclass=dbus permissive=0
mag 28 08:53:07 hellhound audit[982]: USER_AVC pid=982 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc: denied { send_msg } for scontext=system_u:system_r:tlp_t:s0 tcontext=system_u:system_r:NetworkManager_t:s0 tclass=dbus permissive=0
mag 28 08:53:07 hellhound audit[982]: USER_AVC pid=982 uid=81 auid=4294967295 ses=4294967295 subj=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 msg='avc: denied { send_msg } for scontext=system_u:system_r:tlp_t:s0 tcontext=system_u:system_r:NetworkManager_t:s0 tclass=dbus permissive=0
mag 28 11:05:27 hellhound audit[8360]: AVC avc: denied { write } for pid=8360 comm=“tpacpi-bat” name=“call” dev=“proc” ino=4026532174 scontext=system_u:system_r:tlp_t:s0-s0:c0.c1023 tcontext=system_u:object_r:proc_t:s0 tclass=file permissive=0
mag 28 11:05:27 hellhound audit[8439]: AVC avc: denied { write } for pid=8439 comm=“tpacpi-bat” name=“call” dev=“proc” ino=4026532174 scontext=system_u:system_r:tlp_t:s0-s0:c0.c1023 tcontext=system_u:object_r:proc_t:s0 tclass=file permissive=0

non significano niente visto l’orario :S mah lascio ai tecnici l’ardua sentenza

Ciao @JackDaniels hai provato a rietichettare la policy ? fai partire la macchina con selinux disabilitato poi da :
#touch /.autorelabel
abiliti selinux è riavvia

non lo fa abilitare con selinux=0 da grub
Ho provato ad editare il file config di selinux impostandolo su permissive e togliendo la stringa dal boot ma nulla , va in freeze.

Ma è arrivato qualche aggiornamento di selinux ?

da quello che hai scritto ho interpretato che eri riuscito a fare partire il sistema senza selinux

Ho provato a fare downgrade :

Transazione in corso
Esecuzione scriptlet in corso: selinux-policy-targeted-3.14.5-32.fc32.n 1/1
Preparazione in corso : 1/1
Downgrading : selinux-policy-3.14.5-32.fc32.noarch 1/4
Esecuzione scriptlet in corso: selinux-policy-3.14.5-32.fc32.noarch 1/4
Esecuzione scriptlet in corso: selinux-policy-targeted-3.14.5-32.fc32.n 2/4
sha512sum: /etc/selinux/targeted/policy/policy.32: Errore di input/output

Downgrading : selinux-policy-targeted-3.14.5-32.fc32.noarch 2/4
Error unpacking rpm package selinux-policy-targeted-3.14.5-32.fc32.noarch
Pulizia : selinux-policy-3.14.5-39.fc32.noarch 3/4
errore: estrazione archivio fallita sul file /etc/selinux/targeted/.policy.sha512;5ed0228e: cpio: open
errore: selinux-policy-targeted-3.14.5-32.fc32.noarch: installa fallito
errore: selinux-policy-targeted-3.14.5-39.fc32.noarch: elimina saltato

Esecuzione scriptlet in corso: selinux-policy-3.14.5-39.fc32.noarch 3/4
errore: errore nella creazione del file temporaneo /var/tmp/rpm-tmp.D4rpi5: File system in sola lettura
errore: Impossibile creare il file temporaneo per %postun(selinux-policy-3.14.5-39.fc32.noarch): File system in sola lettura

stessa cosa con reinstall

provato questi due poi fallisce il poweroff e devo spegnere forzatamente :S

hai eseguito solo aggiornamenti ho hai fatto qualche modifica

modifiche a selinux? no

riesci con la macchina accesa a dare :
fixfiles -F onboot è riavviare ?

Ti posto anche un link con un pò di info :
https://opensource.com/article/18/7/sysadmin-guide-selinux

provato , se tolgo selinux=0 freeza ancora

Prova a non togliere selinux=0 è quando sei loggato nella macchina prova a dare il comando :
fixfiles -F onboot
è riavviare ( da quello che leggo nel log si impianta nella lettura del SecureBoot)

Se si impianta ancora prova a disabilitare il securebot dal bios è guarda se parte.

nulla da fare , secureboot dal bios era disabilitato. Con calma domani daro’ una occhiata a quel link. Domanda : ma in uso desktop selinux e’ necessario?

Io personalmente dico si è una maggiore sicurezza è ha il controllo sugli accessi , diciamo che è tipo apparmor di ubuntu ma molto più sicuro , anni fà chiesi pure io perchè era una cosa nuova per mè comunque , firewalld + selinux è un ottima soluzione di sicurezza. è un pò da capire ma quando ci si prende la mano è una bomba . sempre che non ci si chiude fuori.

nulla , parte solo con selinux=0 , se provo a eliminare/reinstallare un qualsiasi pacchetto selinux la macchina va in freeze :S

Premessa: SELinux è per me una di quelle cose difficili per l’essere umano comune. Quindi non parlo da esperto.

touch /.autorelabel e fixfiles -F onboot mi sa che verrebbero eseguiti durante il boot sì, ma probabilmente in una fase successiva al problema che ha @JackDaniels (e vai a sapere da cosa è stato scatenato…)

Un’altra cosa che puoi provare è: partire sempre con selinux=0, poi dare questo comando
sudo fixfiles verify
(che probabilmente stamperà una valanga di messaggi) e se te la senti
sudo fixfiles relabel
(che a seconda della velocità del disco, impiegherà un sacco di tempo).
Quello che fa quest’ultimo comando è un relabel di tutti i file (come farebbero gli altri due comandi proposti) ma a sistema avviato e non durante la fase di boot.
Poi provare di nuovo col reboot senza aggiungere selinux=0

fixfiles verify
libsemanage.semanage_make_sandbox: Could not copy files to sandbox /var/lib/selinux/targeted/tmp. (Input/output error).
genhomedircon: Could not begin transaction: Input/output error
fixfiles: No suitable file systems found

dopo di che va in crash il sistema e devo chiuderlo forzatamente

Accipicchia. Allora il problema è più grosso.

Potresti incollare qui cosa dice:
df -h /var/lib/selinux/targeted

File system Dim. Usati Dispon. Uso% Montato su
/dev/sda3 216G 8,0G 206G 4% /