Konflikt Selinux-postfix

[jjj]

Witam,

 

na F8 w najnowszej konfiguracji

libselinux-2.0.43-1.fc8
selinux-policy-targeted-3.0.8-117.fc8
selinux-policy-3.0.8-117.fc8
postfix-2.5.5-1.fc8

postfix przestał startować. maillog głosi

postfix/master[1889]: fatal: open lock file /var/lib/postfix/master.lock: cannot create file exclusively: Permission denied

Skrypt startowy postfiksa wywołany przez init-a głosi -- o zgrozo

 [ OK ]

ale nie uruchamia procesu, zaś w audit-cie widzimy

 avc:  denied  { write } for  pid=2469 comm="master" name="postfix" dev=sda1 ino=2812827 scontext=unconfined_u:system_r:postfix_master_t:s0 tcontext=system_u:object_r:var_lib_t:s0 tclass=dir

Rzecz dotyczy wielu niezależnie konfigurowanych maszyn, więc raczej nie chodzi o błąd admina.

 

Ma ktoś tak samo?

[@WalDo]

Sprawdzałeś co mówi sealert? Włącz sobie browser (sealert -b) i przejrzyj wszystko co się pokaże. Jeśli znajdziesz błąd podobny do cytowanego, to na ogół w opisach błędów jest też sekcja sugerująca polecenie jakie należy wykonać w celu usunięcia problemu/blokady.

[jjj]

Sprawdzałeś co mówi sealert? Włącz sobie browser (sealert -b) i przejrzyj wszystko co się pokaże. Jeśli znajdziesz błąd podobny do cytowanego, to na ogół w opisach błędów jest też sekcja sugerująca polecenie jakie należy wykonać w celu usunięcia problemu/blokady.

Nie wiem czy wstyd, ale nie znałem tego narzędzia.

Jednak nic nowego mi nie mówi; cytuje log z audita i sugeruje wykonanie restorecon, co i tak zrobiłem wcześmiej.

SELinux is preventing master (postfix_master_t) "read write" to ./master.lock (var_lib_t). 
Kontekst źródłowy:  unconfined_u:system_r:postfix_master_t:s0
Kontekst docelowy:  system_u:object_r:var_lib_t:s0
Obiekty docelowe:  ./master.lock [ file ]
Źródło:  master

SELinux is preventing find (postfix_master_t) "getattr" to /var/lib/postfix/master.lock (var_lib_t)
Kontekst źródłowy:  unconfined_u:system_r:postfix_master_t:s0
Kontekst docelowy:  system_u:object_r:var_lib_t:s0
Obiekty docelowe:  /var/lib/postfix/master.lock [ file ]
Źródło:  find

Załaduję poprzednią selinux-policy, bo coś mi się zdaje że to pomoże.

 

[Adi1981]

Spróbuj

chcon -R -t postfix_var_lib_t /var/lib/postfix

I uaktualnij selinux-policy do najnowszej -> http://koji.fedoraproject.org/koji/buildinfo?buildID=66907 (chyba że to ona zepsuła postfixa to -> bugzilla)

[jjj]

Tylko że ja mam F8, nie ma dla niej paczki selinux 3.3.1.

Tandem selinux-policy-3.0.8-117.fc8 (najnowsza) i postfix-2.4.5-2.fc8 (poprzednia) ładnie współpracują.

O kontekście postfix_var_lib_t pomyślę jeszcze dziś, kiedy złapię wolną chwilę. Dzięki za sugestię.

 

// edit: nie. W tej policy taki kontekst nie istnieje.

 

Ech, uroki bleeding edge...

[Adi1981]

Tylko że ja mam F8,

Trzeba było tak od razu

* Tue Oct 14 2008 Dan Walsh <[email protected]> 3.0.8-119
- Fix sendmail transition rules to postfix

http://koji.fedoraproject.org/koji/buildinfo?buildID=66998

[jjj]

Trzeba było tak od razu

Pierwsze słowa w wątku brzmią: na F8 w najnowszej konfiguracji

 

Dzięki za źródło informacji. W takim razie poczekam do update selinuksa, po czym dopiero podciągnę postfixa.

 

<edit date="2008.10.30:16:57">

selinux-policy-3.0.8-121.fc8 i postfix-2.5.5-1.fc8 dogadują się sprawnie.

</edit>