selinux “Possível incompatibilidade entre esta política ...”

Question

selinux “Possível incompatibilidade entre esta política ...”

#1 resposta do (1 votos)

2

Como faço para solucionar o seguinte erro abaixo:

type=AVC msg=audit(1365523330.609:4846): avc:  denied  { append } for  pid=12542 comm="FTPMan.pl" name="user_list" dev=dm-0 ino=2884237 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:etc_t:s0 tclass=file

Was caused by:
    Unknown - would be allowed by active policy
    Possible mismatch between this policy and the one under which the audit message was generated.

    Possible mismatch between current in-memory boolean settings vs. permanent ones.

Não houve muita documentação sobre este erro em particular.

security selinux linux

por usa ims 09.04.2013 / 18:31

1 resposta

Tags security selinux linux

Aumenta a limitação de FD e o SSH não funciona? Registrando a saída do varnishlog em um arquivo com o awk no modo daemon

score 1 · Answer 1

Verifique nos logs do apache o arquivo real que está causando o problema (para mim, foi mod_jk.so). Espero que você encontre uma linha no log de erros como

Cannot load /opt/coldfusion10/config/wsconfig/1/mod_jk.so into server: /opt/coldfusion10/config/wsconfig/1/mod_jk.so: failed to map segment from shared object: Permission denied

compare as permissões do selinux desse arquivo com as permissões do executável http. para mim eles eram

# ls -ldZ /opt/coldfusion10/config/wsconfig/1/mod_jk.so
-rwxr-xr-x. nobody nobody unconfined_u:object_r:httpd_log_t:s0 /opt/coldfusion10/config/wsconfig/1/mod_jk.so
# ls -ldZ /usr/sbin/httpd
-rwxr-xr-x. root root system_u:object_r:httpd_exec_t:s0 /usr/sbin/httpd

Você pode ver que o mod_jk.so possui permissões diferentes para o binário httpd. Para corrigi-lo, basta torná-los o mesmo

# sudo chcon -R -u system_u -r object_r -t httpd_exec_t /opt/coldfusion10/config/wsconfig/1/mod_jk.so

Agora eles combinam e, para mim, o apache foi iniciado novamente (sem comprometer a segurança do meu servidor)