Atualmente tenho o SELinux habilitado e tenho sido capaz de configurar o apache para permitir acesso a / home / src / web com um comando chcon que concede o tipo 'httpd_sys_content_t'. Mas agora eu estou tentando servir o arquivo rsyslogd.conf do mesmo diretório, mas toda vez que eu inicio rsyslogd eu vejo uma entrada no meu log de auditoria dizendo que o rsyslogd foi negado o acesso. Minha pergunta é, é possível conceder a dois aplicativos a capacidade de acessar o mesmo diretório, mantendo o SELinux ativado?
Perms atuais em / home / src:
drwxr-xr-x. src src unconfined_u:object_r:httpd_sys_content_t:s0 src
Mensagem de registro de auditoria:
type=AVC msg=audit(1349113476.272:1154): avc: denied { search } for pid=9975 comm="rsyslogd" name="/" dev=dm-2 ino=2 scontext=unconfined_u:system_r:syslogd_t:s0 tcontext=system_u:object_r:home_root_t:s0 tclass=dir
type=SYSCALL msg=audit(1349113476.272:1154): arch=c000003e syscall=2 success=no exit=-13 a0=7f9ef0c027f5 a1=0 a2=1b6 a3=0 items=0 ppid=9974 pid=9975 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=30 comm="rsyslogd" exe="/sbin/rsyslogd" subj=unconfined_u:system_r:syslogd_t:s0 key=(null)
- Editar -
Passou por esse permissão de parâmetros do sebool , o único relacionado ao syslog era: syslogd_disable_trans (SELinux Service Protection), parece como eu posso manter o atual 'tipo' SELinux no /home/src/ dir, mas defina o bool em syslogd_disable_trans como false. Gostaria de saber se existe uma abordagem melhor?
Como ainda estou aprendendo o SELinux, tentei não implementar o pacote de políticas do SELinux, mas, nesse caso, parecia que eu não tinha escolha. Então, segui a resposta original para essa postagem e capaz de fazer com que o rsyslog seja legal com / home / src / web.
O Type Enforcement ajuda a impedir que processos acessem arquivos destinados a serem usados por outro processo. Por exemplo, por padrão, o Samba não pode ler arquivos rotulados com o tipo httpd_sys_content_t, que devem ser usados pelo Apache HTTP Server. Os arquivos podem ser compartilhados entre o Servidor HTTP Apache, FTP, rsync e Samba, se os arquivos desejados estiverem rotulados com o tipo public_content_t ou public_content_rw_t.