selinux avc: problema negado

Navegue suas respostas
3

Eu apenas configuro um servidor de hospedagem na web com o selinux no modo permissivo, o que significa que ele é inseguro, mas gera problemas no arquivo de log de mensagens. Depois de ter corrigido todos os erros avc: denied, colocarei o servidor no modo 'enforce'. Mas aqui está a questão. Em / var / log / messages, tenho o seguinte erro: 

Apr  3 14:32:30 narf kernel: type=1400 audit(1365013105.731:3): avc:  denied  { search }      for  pid=1319 comm="vsftpd" name="/" dev=dm-2 ino=2 scontext=system_u:system_r:ftpd_t:s0-   s0:c0.c1023 tcontext=system_u:object_r:home_root_t:s0 tclass=dir

Agora, como eu logicamente abordo isso, alguém tem alguma dica sobre o negócio?

    
por usa ims 03.04.2013 / 20:46

2 respostas

4

Parece que você quer que o FTP possa ser usado por usuários normais (que têm conteúdo em / home).

Existe um booleano para resolver esse problema. Você pode resolver isso fazendo o seguinte ...

cat your_avc_txt.txt | audit2why

Que produz: 

Apr  3 14:32:30 narf kernel: type=1400 audit(1365013105.731:3): avc:  denied  { search } for  pid=1319 comm="vsftpd" name="/" dev=dm-2 ino=2 scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:home_root_t:s0 tclass=dir

Was caused by:
One of the following booleans was set incorrectly.
Description:
Allow ftp to read and write files in the user home directories

Allow access by executing:
# setsebool -P ftp_home_dir 1
Description:
Allow ftp servers to login to local users and read/write all files on the system, governed by DAC.

Allow access by executing:
# setsebool -P ftpd_full_access 1

Isso informa quais booleanos controlam esse comportamento e o que eles fazem, você deve habilitar o booleano que é o mais restritivo dos dois. Então, no seu caso ftp_home_dir .

    
por 03.04.2013 / 21:32
1

Este comando abaixo foi o mais amigável. Eu so audito2 por todo o audit.log. 

/usr/bin/audit2why < /var/log/audit/audit.log
    
por 03.04.2013 / 22:31

Tags

Kernel do Linux (/ proc / meminfo) Não está relatando toda a memória selinux Execução de tipo em falta (TE) permite regra