Às vezes, o selinux nega o acesso a recursos sem o registro. Verifique se as regras "não auditar" estão habilitadas ou não. Use "semodule -B" ou "-DB" para habilitar ou desabilitá-lo temporariamente.
Eu tenho um sistema onde alguns programas estão tendo acesso negado no SELinux quando realizam suas tarefas. Esses programas são ClamAV, fail2ban e Logwatch.
Acho que consegui permitir todo o acesso ao ClamAV (Clamscan), seguindo as instruções no Solucionador de problemas do SELinux. Eu permiti o fail2ban e o Logwatch também no solucionador de problemas, mas suspeito que ainda seja negado algum acesso.
Aqui estão os comandos que permitem um programa:
grep fail2ban-client /var/log/audit/audit.log | audit2allow -M mypol
e
semodule -i mypol.pp
Pergunta:
Como descubro qual acesso o SELinux está negando a esses programas, o acesso de que precisam no sistema e como remediar isso?
Aqui está: ausearch -m avc
Às vezes, o selinux nega o acesso a recursos sem o registro. Verifique se as regras "não auditar" estão habilitadas ou não. Use "semodule -B" ou "-DB" para habilitar ou desabilitá-lo temporariamente.
A localização dos logs do SELinux está lá: o registro é feito em
/var/log/audit/audit.log
refaça o arquivo e canalize-o com o grep para pesquisar o que você está procurando
Abra o arquivo / etc / selinux / targeted / booleans usando um editor de texto:
vi /etc/selinux/targeted/booleans
Por exemplo, para controlar o Apache
Modifique o valor para httpd_disable_trans da seguinte forma: httpd_disable_trans = 1
salve e feche o arquivo. Digite os dois comandos a seguir:
# setsebool httpd_disable_trans 1
# /etc/init.d/httpd restart
se você quiser fazer isso no X
Abra um prompt de shell
Digite o comando
system-config-securitylevel &
selecione a guia SELinux > clique em Desativar a proteção do SELinux para a caixa de seleção do daemon httpd > Salve as alterações
# /etc/init.d/httpd r
reiniciar para o selinux para fazer a mudança