lelad Napisano Maj 5, 2006 Zgłoszenie Share Napisano Maj 5, 2006 Witam wszystkich. Dotyczy Fedora Core 5. Mam następujący problem: Serwer poczty jest obsługiwany przez postfix. Postfix wywołuje procmail w celu rozesłania poczty do uzytkowników lokalnych. Procmail przed rozesłaniem poczty wywołuje kontrolę antyspamową (spamassassin) i kontrolę antywirusową (clamassassin który wywołuje clamav). O ile spamassassin jest wykonywany bez żadnego problemu o tyle clamassassin (który jest skryptem powłoki) przy uruchomieniu podaje komunikat błędu, że nie ma prawa zapisywąć w katalogu /temp i kończy działanie bez uruchomienia clamav. Wszystko to się dzieje gdy Selinux jest w trybie enforcing. Jeśli natomiast przełączę SElinux w tryb permissive (setenforce 0) nie ma żadnych kłopotów z wykonaniem skryptu clamassassin. Natomiast jeśli clamassasin jest wywoływany przez procmail ,który został wywołany przez fetchmail, nie ma żadnego problemu z wykonaniem skryptu mimo, że SElinux jest w trybie enforcing. Widać z powyższego, że problem dla SElinuksa jest tylko wtedy gdy clamassassin jest pośrednio wywoływany przez usługę systemową którą jest postfix. Jeśli ktoś ma pomysł jak rozwiązać ten problem bez wyłączania SElinuksa i zmiany stosowanych programów proszę o wszelkie sugestie bo mimo wertowania różnej dokumentacji SElimuksa czuję, że jestem za cienki aby go samodzielnie rozwiązać. Pozdrawiam Lelad. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość Zuk87 Napisano Maj 5, 2006 Zgłoszenie Share Napisano Maj 5, 2006 http://fedora.redhat.com/docs/selinux-faq-...-fc5/#id2958106 podaj zgłoszenia avc jestli chceszcz, to możesz pozwolić na wykonuwanie skryptu za pomocą audit2allow jeśli to sa paczki z fedora extras, to powinieneś zgłosić ten błąd być może clamassasin powinien mieć w skryptach instalacyjnych dodatkowe polityki bezpieczeństwa najlepiej jakbyś poruszył ten problem na fedora-selinux-list a to, że nie działa jak jest wykonywane przez postfiksa wynika z faktu, iż działa on w innej domenie niż fetchmail, przez co ma inne prawa aha, przy użyciu audit2allow trzeba uważać, by nie pozwolić za wiele Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
lelad Napisano Maj 6, 2006 Autor Zgłoszenie Share Napisano Maj 6, 2006 Dziękuję za pomoc. Przy pomocy audit2allow udało się rozwiązać problem bez wyłączania SElinuksa. Dla informacji (może to być dla kogoś przydatne) : żeby działał clamassassin wywoływany przez procmail, który jest wywoływany przez postfix musiałem utworzyć plik local.te o poniższej trści: module local 1.0; require { class dir search; class dir write; class dir add_name; class file create; class dir remove_name; class file write; class file { getattr unlink }; class file read; class dir create; class file getattr; class dir { read setattr }; class dir rmdir; type procmail_t; type tmp_t; type var_lib_t; }; allow procmail_t tmp_t:dir search; allow procmail_t tmp_t:dir write; allow procmail_t tmp_t:dir add_name; allow procmail_t tmp_t:file create; allow procmail_t tmp_t:dir remove_name; allow procmail_t tmp_t:file write; allow procmail_t tmp_t:file { getattr unlink }; allow procmail_t tmp_t:file read; allow procmail_t var_lib_t:file read; allow procmail_t tmp_t:dir create; allow procmail_t var_lib_t:file getattr; allow procmail_t tmp_t:dir { read setattr }; allow procmail_t tmp_t:dir rmdir; Pozdrawiam Lelad Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się