autenticação pure-ftpd bloqueada pelo SELinux

Navegue suas respostas
1

Primeiro, minha configuração. Estou usando o CentOS 6.4 e instalei o pure-ftpd (mais o módulo SELinux) dos repositórios EPEL: 

> rpm -q pure-ftpd pure-ftpd-selinux
pure-ftpd-1.0.30-1.el6.x86_64
pure-ftpd-selinux-1.0.30-1.el6.x86_64

Depois de tentar fazer isso funcionar corretamente com o SELinux, tentei setsebool 'ing algumas coisas: 

allow_ftpd_full_access --> on
ftp_home_dir --> on
ftpd_use_passive_mode --> on

O contexto no qual o pure-ftpd está em execução (como root.root ): 

system_u:system_r:ftpd_t:s0-s0:c0.c1023 25196 ? Ss    0:00 pure-ftpd (SERVER)

Agora, o problema. Por alguma razão desconhecida, o SELinux nega tentativas de login sem registrar nada em /var/log/audit/audit.log . O pure-ftpd registra isso (no modo -d -d ): 

Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [INFO] New connection from <my_ip>
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220-You are user number 1 of 50 allowed.
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220-Local time is now 17:53. Server port: 21.
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220-This is a private system - No anonymous login
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220-IPv6 connections are also welcome on this server.
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220 You will be disconnected after 15 minutes of inactivity.
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] Command [auth] [TLS]
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 234 AUTH TLS OK.
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [INFO] SSL/TLS: Enabled TLSv1/SSLv3 with DHE-RSA-AES256-SHA, 256 secret bits cipher
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] Command [user] [admin]
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 331 User admin OK. Password required
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] Command [pass] [<*>]
Jul 10 17:53:42 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 530 Login authentication failed
Jul 10 17:53:42 <hostname> pure-ftpd: (?@<my_ip>) [WARNING] Authentication failed for user [admin]
Jul 10 17:53:42 <hostname> pure-ftpd: (?@<my_ip>) [INFO] Logout.
Jul 10 17:53:42 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 530 Logout.

Quando eu setenforce 0 , o login de repente funciona perfeitamente bem. Quando eu, em seguida, setenforce 1 novamente e reconectar, ele não vai me deixar entrar.

Novamente: o auditd não registra nada e os logs do pure-ftpd são inúteis. /var/log/secure também permanece em branco e tail -f /var/log/* mostra apenas as mensagens do syslog que colei acima.

Para completar, ele é meu pure-ftpd.conf : 

# Core
Daemonize                   yes
#PassivePortRange           35000 35999
ProhibitDotFilesWrite       no
ProhibitDotFilesRead        no

# Security
#ChrootEveryone             yes
NoAnonymous                 yes
UnixAuthentication          yes
MinUID                      499
UseFtpUsers                 no
#TLS                        2
VerboseLog                  yes
VerboseLog                  yes

# Logging
SyslogFacility              local5
AltLog                      clf:/var/log/pureftpd.log

# Performance
DontResolve                 yes
MaxIdleTime                 15
LimitRecursion              10000 8
MaxLoad                     4
MaxDiskUsage                99

# Customer happy
CustomerProof               yes
NoTruncate                  yes
#AllowUserFXP               yes

Sua ajuda seria muito apreciada.

    
por Tom van der Woerdt 10.07.2013 / 18:00

1 resposta

2

Várias políticas do SELinux estão marcadas como dontaudit para que não deixem mensagens no log de auditoria . Geralmente, isso ocorre porque são políticas que simplesmente enviam spam ao log com entradas inúteis, mas às vezes os desenvolvedores dontaudit negam em vez de corrigir o problema subjacente. A política que você está atingindo é quase certamente entre eles, já que você não está vendo nenhuma mensagem sendo registrada em audit.log .

Você pode desativar temporariamente dontaudit executando: 

semodule -DB

Depois de descobrir a causa do problema, reative dontaudit com: 

semodule -B

Para criar sua política depois de gerá-la, execute: 

make -f /usr/share/selinux/devel/Makefile
    
por 10.07.2013 / 21:51

Tags

Vários domínios SPF no registro DNS SPF. Para MX ou não MX? Saída diferente por df e du [duplicado]