Qual deve ser o contexto de segurança desses arquivos cron?

0

Estou executando o Fedora 20 e estou tendo alguns problemas ao executar o logrotate e o anacron, que eu suspeito estar relacionado ao SELinux:

Failed to determine timestamp: Cannot assign requested address
chgrp: changing group of /var/log/mariadb: Permission denied

Eu fiz algumas pesquisas e deparei com este artigo do wiki do Gentoo que diz o seguinte:

If you want to perform system administrative tasks using cronjobs, you will need to take special care that the domain in which the job runs has sufficient privileges.

First, make sure that your cronjobs run in the system_cronjob_t domains. This means that the cronjobs must be defined as either

scripts in the /etc/cron.hourly, /etc/cron.daily, ... directories
crontab entries in the /etc/cron.d directory
crontab entries in the /etc/crontab file

Uma verificação nas minhas políticas padrão do SELinux revela que eu tenho o seguinte:

/etc/cron.daily(/.*)?    all files      system_u:object_r:bin_t:s0 
/etc/cron.hourly(/.*)?   all files      system_u:object_r:bin_t:s0 
/etc/cron.monthly(/.*)?  all files      system_u:object_r:bin_t:s0 
/etc/cron.weekly(/.*)?   all files      system_u:object_r:bin_t:s0 
/etc/cron\.d(/.*)?       all files      system_u:object_r:system_cron_spool_t:s0 
/etc/crontab             regular file   system_u:object_r:system_cron_spool_t:s0

Devo alterar a política do SELinux para que eles tenham system_cronjob_t como rótulo de contexto?

    
por Question Overflow 10.08.2014 / 09:42

1 resposta

1

Parece que é assim que deve ser:

Do changelog do selinux-policy-3.12.1-139:

- Allow systemd_cronjob_t to be entered via bin_t

Você tem algum erro em /var/log/audit/audit.log referente a mariadb ? Uma verificação rápida e fácil é setenforce=0 e executar seus trabalhos cron . Se eles se saem melhor, então o SELinux está causando o problema.

    
por 10.08.2014 / 19:56