SELinuxにはじかれていろいろできない場合の対処法。
よくやること
・getenforceでSELinuxの状態確認
・/var/log/audit/audit.logの確認
・ls -Z でコンテキストの確認
・audit2allow /var/log/audit/audit.logで、対処方法の確認
・setseboolで、ルールの有効無効の設定
・semoduleでポリシー設定
ポリシー設定方法
teファイルにポリシーを記述
# mymod.te
module mymod 1.0;
require {
type httpd_t;
type clamscan_exec_t;
type clamd_var_lib_t;
class file { getattr read open };
class dir { read getattr open search };
}
#============= httpd_t ==============
allow httpd_t clamscan_exec_t:file { getattr read open };
allow httpd_t clamd_var_lib_t:dir { read getattr open search };
allow httpd_t clamd_var_lib_t:file { read getattr open };
/usr/share/selinux/develのMakefileでmakeし、ppファイルを作成
semoduleでモジュールをインストール
semodule -i mymod.pp
SELinuxをいったんPermissiveにして、auditlogにある程度情報を集め、その後audit2allowでポリシー作成、ポリシー適用、の流れが一番楽かも。
0 件のコメント:
コメントを投稿