SELinux contexto de arquivos montados a partir de um servidor Solaris

Navegue suas respostas
4

Algo que estou tentando executar em RHEL 6 falha como resultado do SELinux. O problema é temporariamente resolvido facilmente com setenforce 0 . No entanto, desativar o SELinux inteiramente não é uma opção no meu caso.

O problema é que esses arquivos são montados a partir de uma máquina Solaris antiga e o contexto de tudo que está carregado é system_u: object_r: nfs_t: s0 . Eu preciso modificar apenas um punhado de arquivos que são montados a partir daquela máquina para link

Qualquer tentativa de fazer isso, no entanto, resulta em " Operação não suportada ". O comando que estou tentando usar é:

chcon -R -h -t httpd_sys_content_t /path/to/my/stuff

Pelo que posso dizer, isso ocorre porque tudo a partir desse servidor é montado como system_u: object_r: nfs_t: s0 . Sendo Solaris, eu não posso ir para a própria máquina e usar o chcon, pois o SELinux e o chcon não existem.

A solução que posso pensar é que vai funcionar e instalar o mesmo software nesta máquina, que é RHEL 6 , eliminando o Solaris. Eu gostaria de saber se essa é minha única escolha ou não.

    
por CptSupermrkt 04.11.2013 / 00:05

1 resposta

5

Existem duas opções (dentro do SELinux):

1) Tudo o mais falha audit2allow pode converter quaisquer negações do SELinux na operação permitida.

2) O que eu recomendaria: Habilite o booleano do SELinux para permitir que httpd_t acesse objetos nfs_t : 

[root@ditirlns02 ~]# getsebool httpd_use_nfs
httpd_use_nfs --> off
[root@ditirlns02 ~]# setsebool -P httpd_use_nfs=1
[root@ditirlns02 ~]# getsebool httpd_use_nfs
httpd_use_nfs --> on
[root@ditirlns02 ~]#

Os contextos de segurança são definidos pela máquina que monta o sistema de arquivos remoto, portanto, o Solaris não é amplamente relacionado. Mesmo que as exportações venham do RHEL, as exportações do NFS ainda serão nfs_t e não há muito o que fazer sobre isso

    
por 04.11.2013 / 00:21

Tags

Gaussian, que é executado com nohup na máquina linux remota, é morto quando o computador local é desligado antes de o shell ser encerrado Suprimir “Despertador: 14” do ping