Este comportamiento generalmente está relacionado con el dominio de seguridad thumb_t, introducido para proteger el sistema ante posibles ataques mediante archivos maliciosos procesados por los thumbnailers.
En este artículo veremos:
Por qué ocurre el problema.
Cómo habilitar los thumbnailers de forma rápida.
Cómo revertir el cambio.
Cómo aplicar una solución más segura mediante una política puntual de SELinux.
¿Por qué SELinux bloquea los thumbnailers?
SELinux implementa un aislamiento adicional para los generadores de miniaturas, con el objetivo de evitar que procesos externos ejecuten código mientras el sistema está bloqueado o sin validación del usuario.
Cuando alguna operación del thumbnailer no está permitida por la política, se generan eventos de denegación (AVC denials), y como consecuencia:
No se generan miniaturas.
El gestor de archivos muestra solo iconos genéricos.
Algunos procesos quedan confinados en el dominio thumb_t
.
Esto se observa en el log del sistema (journalctl -t setroubleshoot) con mensajes similares a:
avc: denied { connectto } for scontext=... tcontext=... tclass=unix_stream_socket
Solución rápida: colocar thumb_t en modo permisivo
Si el entorno de escritorio depende de las miniaturas para el flujo de trabajo, una solución inmediata consiste en poner el dominio thumb_t en modo permisivo:
$ sudo semanage permissive -a thumb_tCon esto:
SELinux deja de bloquear las operaciones de los thumbnailers
Las miniaturas vuelven a generarse correctamente.
Se siguen registrando los eventos en los logs.
Es una solución funcional y simple, útil para equipos personales o entornos no críticos.
Cómo revertir el cambio (volver al modo enforcing)
Si deseas regresar al comportamiento seguro por defecto, ejecuta:
$ sudo semanage permissive -d thumb_tPuedes validar el estado con:$ sudo semanage permissive -lSi thumb_t ya no aparece en la lista, volvió al modo enforcing.Alternativa recomendada: Crear una política mínima permitida
En lugar de deshabilitar por completo el confinamiento del dominio, es posible generar una política puntual que permita únicamente las acciones necesarias para los thumbnailers.
Este enfoque es más seguro y apropiado para estaciones de trabajo corporativas, equipos compartidos y entornos productivos.
- Reproducir el problema
Borra el caché de thumbnails:
$ rm -rf ~/.cache/thumbnails/*Abre una carpeta con imágenes o videos.2. Extraer los registros AVC recientes
$ sudo ausearch -m avc -ts recentSi el comando anterior no arroja salida alguna, prueba con otra marca de tiempo como today en vez de recent.
3. Generar una política personalizada
$ sudo ausearch -m avc -ts recent | audit2allow -M thumb_fix$ sudo semodule -i thumb_fix.ppÉsta política:
Autoriza únicamente las operaciones legítimas detectadas.
Mantiene la protección original del dominio thumb_t
.
Conclusión
El dominio thumb_t en SELinux mejora la seguridad del sistema, pero en algunos escenarios puede afectar la generación de miniaturas en el escritorio. Afortunadamente, existen alternativas como las que acabamos de ver que nos permiten mantener el usuo de miniaturas en los íconos sin desabilitar SELinux completamente y exponer nuestro sistema. La clave está en entender el comportamiento de SELinux y aplicar la opción que mejor equilibre usabilidad y seguridad dependiendo del contexto.
0 comments:
Publicar un comentario