web-dev-qa-db-ja.com

selinux avc:拒否された問題

Selinuxを許可モードでWebホスティングサーバーをセットアップしただけです。つまり、セキュリティで保護されていませんが、メッセージログファイルに問題が書き込まれています。すべてのavc:拒否エラーを修正したら、サーバーを「強制」モードにします。しかし、ここに質問があります。/var/log/messagesに、次のエラーがあります。

Apr  3 14:32:30 narf kernel: type=1400 audit(1365013105.731:3): avc:  denied  { search }      for  pid=1319 comm="vsftpd" name="/" dev=dm-2 ino=2 scontext=system_u:system_r:ftpd_t:s0-   s0:c0.c1023 tcontext=system_u:object_r:home_root_t:s0 tclass=dir

さて、私はこれに論理的にどのように取り組みますか?誰かが取引のヒントを持っていますか?

4
usa ims

FTPを通常のユーザー(/ homeにコンテンツを持っているユーザー)が使用できるようにしたいようです。

この問題を解決するためのブール値が存在します。次のようにしてこれを解決できます。

cat your_avc_txt.txt | audit2why

生成されるもの:

Apr  3 14:32:30 narf kernel: type=1400 audit(1365013105.731:3): avc:  denied  { search } for  pid=1319 comm="vsftpd" name="/" dev=dm-2 ino=2 scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:home_root_t:s0 tclass=dir

Was caused by:
One of the following booleans was set incorrectly.
Description:
Allow ftp to read and write files in the user home directories

Allow access by executing:
# setsebool -P ftp_home_dir 1
Description:
Allow ftp servers to login to local users and read/write all files on the system, governed by DAC.

Allow access by executing:
# setsebool -P ftpd_full_access 1

これにより、どのブール値がこの動作を制御し、それらが何をするかがわかります。2つの中で最も制限の厳しいブール値を有効にする必要があります。だからあなたの場合はftp_home_dir

5
Matthew Ife

以下のこのコマンドは、最もユーザーフレンドリーです。私はaudit2why全体をaudit.logします。

/usr/bin/audit2why < /var/log/audit/audit.log
2
usa ims