Centos 6.3 PERL CGI acesso de leitura do arquivo selinux

1

Eu tenho um script CGI chamado index.cgi

Está tentando ler um arquivo de log chamado 10.128.0.242.2012.sep.20.downloaded.txt sob o caminho /var/log/trafcount/

Parece que está sendo bloqueado pelo selinux.

O log de auditoria mostra algo como

type=AVC msg=audit(1348158321.873:1472116): avc: denied { read } for pid=11620 comm="index.cgi" name="10.128.0.242.2012.sep.20.downloaded.txt" dev=dm-0 ino=395264 scontext=unconfined_u:system_r:httpd_sys_script_t:s0 tcontext=unconfined_u:object_r:var_log_t:s0 tclass=file

Como posso permitir que este script tenha acesso total a todos os arquivos em / var / log / trafcount?

    
por Steed 20.09.2012 / 18:29

1 resposta

2

Uma maneira é com o comando 'chcon' com o seguinte:

chcon -Rv --type=httpd_sys_content_t /var/log/trafcount

Isso permitirá que você acesse as reinicializações, mas não entre as reclassificações do SELinux. A longo prazo, eu sugeriria criar um tipo personalizado e criar uma regra para isso no SELinux, de modo que tanto o / var / log quanto o Apache possam continuar a usá-lo com alegria.

Fonte: link (Muita coisa boa no SELinux sob o CentOS)

    
por 22.09.2012 / 22:52