Executando suas mensagens por meio do audit2allow, encontramos
#============= smbd_t ==============
#!!!! This avc can be allowed using the boolean 'samba_export_all_rw'
allow smbd_t tmp_t:file { write open };
Isso nos diz que o samba não tem permissão para escrever ou abrir arquivos com um contexto tmp_t
1 .
Você poderia colocar o SELinux no modo Permissivo e deixar o sistema rodar por um tempo para coletar um conjunto completo de mensagens de negação, então usar o audit2allow para criar um módulo personalizado, mas você pode usar a política existente. A página do manual selinux_samba (8) lista todos os booleanos e contextos de arquivos associados ao samba.
Os juros podem ser smbd_tmp_t
e samba_var_t
e a política de pesquisa ( sesearch --allow -s smbd_t ...
que encontramos
allow smbd_t smbd_tmp_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;
allow smbd_t samba_var_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;
Portanto, os arquivos marcados como "ou" farão o que você deseja. Minha preferência aqui seria usar um diretório e / ou arquivos com o rótulo smbd_tmp_t.
Pesquisando no banco de dados de regex do SELinux semange fcontext -l | grep smbd_tmp_t
, descobrimos que não há entradas. Então, precisamos adicionar um. Eu não sei sobre samba e kerberos. Se você puder configurá-lo para colocar os tickets em um diretório específico (por exemplo, / var / tmp / samba), isso deve funcionar
semanage fcontext -a -t smbd_tmp_t "/var/tmp/samba(/.*)?"
mkdir /var/tmp/samba #(and set the file ownership and perms appropriately)
restorecon -r /var/tmp/samba
Se você tiver que usar o arquivo / var / tmp / DALARAN-044_0 então
semanage fcontext -a -t smbd_tmp_t "/var/tmp/DALARAN-044_0"
restorecon -r /var/tmp/DALARAN-044_0
Reinicie o samba / kerberos / whatevever
1 Nota: você quase certamente não deseja definir esse booleano, pois um samba comprometido terá acesso total de leitura / gravação a todos os arquivos no sistema.
é domingo, tarde e a garrafa de Rioja tem sido muito legal:)