selinux avc:拒否された問題
Selinuxを許可モードでWebホスティングサーバーをセットアップしただけです。つまり、セキュリティで保護されていませんが、メッセージログファイルに問題が書き込まれています。すべてのavc:拒否エラーを修正したら、サーバーを「強制」モードにします。しかし、ここに質問があります。/var/log/messagesに、次のエラーがあります。
Apr 3 14:32:30 narf kernel: type=1400 audit(1365013105.731:3): avc: denied { search } for pid=1319 comm="vsftpd" name="/" dev=dm-2 ino=2 scontext=system_u:system_r:ftpd_t:s0- s0:c0.c1023 tcontext=system_u:object_r:home_root_t:s0 tclass=dir
さて、私はこれに論理的にどのように取り組みますか?誰かが取引のヒントを持っていますか?
FTPを通常のユーザー(/ homeにコンテンツを持っているユーザー)が使用できるようにしたいようです。
この問題を解決するためのブール値が存在します。次のようにしてこれを解決できます。
cat your_avc_txt.txt | audit2why
生成されるもの:
Apr 3 14:32:30 narf kernel: type=1400 audit(1365013105.731:3): avc: denied { search } for pid=1319 comm="vsftpd" name="/" dev=dm-2 ino=2 scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:home_root_t:s0 tclass=dir
Was caused by:
One of the following booleans was set incorrectly.
Description:
Allow ftp to read and write files in the user home directories
Allow access by executing:
# setsebool -P ftp_home_dir 1
Description:
Allow ftp servers to login to local users and read/write all files on the system, governed by DAC.
Allow access by executing:
# setsebool -P ftpd_full_access 1
これにより、どのブール値がこの動作を制御し、それらが何をするかがわかります。2つの中で最も制限の厳しいブール値を有効にする必要があります。だからあなたの場合はftp_home_dir。
以下のこのコマンドは、最もユーザーフレンドリーです。私はaudit2why全体をaudit.logします。
/usr/bin/audit2why < /var/log/audit/audit.log