Skocz do zawartości

Selinux I Instalowanie Wtyczek Z Katalogu Wordpressa

Pienia

Przez Pienia,
w Bezpieczeństwo

 Share

Rekomendowane odpowiedzi

Pienia Użytkownik

Pienia

Napisano
Napisano

Witam

 

Wordpressa rozpakowałem do katalogu /var/www/html/wordpress. Loguję się lokalnie do wordpressa. Wybieram wtyczkę i klikam na przycisk instaluj. Podaje dane swojego serwera czyli: localhost, admin, hasełko. I tu wkracza do akcji Selinux:

 

Podsumowanie:

SELinux powstrzymuje httpd (httpd_t) "create" do ./1236085938
(httpd_sys_content_t).

Szczegółowy opis:

SELinux odmówił httpd żądania dostępu. Ten dostęp nie jest konieczny dla
httpd i może sygnalizować próbę włamania. Jest także możliwe, że
określona wersja lub konfiguracja aplikacji powoduje, że wymaga ona tego
dostępu.

Zezwalanie na dostęp:

Problemy z nadawaniem etykiet mogą czasem powodować odmowy SELinuksa. Możesz
spróbować przywrócić domyślny kontekst plikom systemowym dla ./1236085938,

restorecon -v "./1236085938"

Jeśli nie działa, obecnie nie ma automatycznego sposobu na pozwolenie na ten
dostęp. Zamiast tego możesz utworzyć lokalny moduł polityki, aby pozwolić
na ten dostęp - zobacz FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Możesz też
wyłączyć ochronę SELinuksa. Wyłączenie jej nie jest zalecane. Zgłoś
raport błędu (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) o tym
pakiecie.

Dodatkowe informacje:

Kontekst źródłowy          system_u:system_r:httpd_t
Kontekst docelowy             system_u:object_r:httpd_sys_content_t
Obiekty docelowe              ./1236085938 [ file ]
Źródło                     httpd
Ścieżka źródłowa         /usr/sbin/httpd
Port                          <Nieznane>
Komputer                      localhost.localdomain
Źródłowe pakiety RPM       httpd-2.2.10-2
Docelowe pakiety RPM          
RPM polityki                  selinux-policy-3.5.13-45.fc10
SELinux jest włączony       True
Typ polityki                  targeted
MLS jest włączone           True
Tryb wymuszania               Enforcing
Nazwa wtyczki                 catchall_file
Nazwa komputera               localhost.localdomain
Platforma                     Linux localhost.localdomain
                             2.6.27.15-170.2.24.fc10.x86_64 #1 SMP Wed Feb 11
                             23:14:31 EST 2009 x86_64 x86_64
Licznik alarmów              2
Po raz pierwszy               wto, 3 mar 2009, 14:12:18
Po raz ostatni                wto, 3 mar 2009, 14:12:18
Lokalny identyfikator         6520851e-5dd6-4df2-b75b-75f482a11997
Liczba wierszy                

Surowe komunikaty audytu      

node=localhost.localdomain type=AVC msg=audit(1236085938.19:55): avc:  denied  { create } for  pid=3192 comm="httpd" name="1236085938" scontext=system_u:system_r:httpd_t:s0
tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=file

node=localhost.localdomain type=SYSCALL msg=audit(1236085938.19:55): arch=c000003e syscall=2 success=no exit=-13 a0=7ff40608a200 a1=241 a2=1b6 a3=7ff42a4b07d0 items=0 ppid=3134 
pid=3192 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0
key=(null)

 

Podsumowanie:

SELinux powstrzymuje httpd (httpd_t) "create" do ./downloads-manager.zip
(httpd_sys_content_t).

Szczegółowy opis:

SELinux odmówił httpd żądania dostępu. Ten dostęp nie jest konieczny dla
httpd i może sygnalizować próbę włamania. Jest także możliwe, że
określona wersja lub konfiguracja aplikacji powoduje, że wymaga ona tego
dostępu.

Zezwalanie na dostęp:

Problemy z nadawaniem etykiet mogą czasem powodować odmowy SELinuksa. Możesz
spróbować przywrócić domyślny kontekst plikom systemowym dla
./downloads-manager.zip,

restorecon -v "./downloads-manager.zip"

Jeśli nie działa, obecnie nie ma automatycznego sposobu na pozwolenie na ten
dostęp. Zamiast tego możesz utworzyć lokalny moduł polityki, aby pozwolić
na ten dostęp - zobacz FAQ
(http://fedora.redhat.com/docs/selinux-faq-fc5/#id2961385) Możesz też
wyłączyć ochronę SELinuksa. Wyłączenie jej nie jest zalecane. Zgłoś
raport błędu (http://bugzilla.redhat.com/bugzilla/enter_bug.cgi) o tym
pakiecie.

Dodatkowe informacje:

Kontekst źródłowy          system_u:system_r:httpd_t
Kontekst docelowy             system_u:object_r:httpd_sys_content_t
Obiekty docelowe              ./downloads-manager.zip [ file ]
Źródło                     httpd
Ścieżka źródłowa         /usr/sbin/httpd
Port                          <Nieznane>
Komputer                      localhost.localdomain
Źródłowe pakiety RPM       httpd-2.2.10-2
Docelowe pakiety RPM          
RPM polityki                  selinux-policy-3.5.13-45.fc10
SELinux jest włączony       True
Typ polityki                  targeted
MLS jest włączone           True
Tryb wymuszania               Enforcing
Nazwa wtyczki                 catchall_file
Nazwa komputera               localhost.localdomain
Platforma                     Linux localhost.localdomain
                             2.6.27.15-170.2.24.fc10.x86_64 #1 SMP Wed Feb 11
                             23:14:31 EST 2009 x86_64 x86_64
Licznik alarmów              2
Po raz pierwszy               wto, 3 mar 2009, 14:12:18
Po raz ostatni                wto, 3 mar 2009, 14:12:18
Lokalny identyfikator         7ced10a6-3a8e-4e8b-875a-1a879ebf38ae
Liczba wierszy                

Surowe komunikaty audytu      

node=localhost.localdomain type=AVC msg=audit(1236085938.27:57): avc:  denied  { create } for  pid=3192 comm="httpd" name="downloads-manager.zip" scontext=system_u:system_r:httpd_t:s0
tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=file

node=localhost.localdomain type=SYSCALL msg=audit(1236085938.27:57): arch=c000003e syscall=2 success=no exit=-13 a0=7ff406074ac0 a1=241 a2=1b6 a3=65746e6f632d7077 items=0 ppid=3134
pid=3192 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0
key=(null)

 

I jak tu ustawić kontekst Selinuxa? Oczywiście mógłbym dodać kontekst dla tego konkretnego pliku, ale to chyba jest bez sensu (przy instalacji innej wtyczki problem się powtórzy). A co z plikiem tymczasowym (te cyferki)? Oczywiście wiem, że można ręcznie pobrać plik wtyczki w formie zip na dysk i stamtąd próbować zainstalować. Proszę o jakieś propozycje. Może ktoś już zetknął się z tym tematem?

 

Pozdrawiam i z góry dziękuję

Mariusz

 

Aktualizacja 31/03/2009:

Problem rozwiązałem sam z małym udziałem Google (http://bable.cybermarshall.com/2008/11/26/...policy-enabled/ i http://wordpress.org/support/topic/247423):

1. chown -R apache:apache /var/www/html/wordpress/

2. chcon -R -t httpd_tmp_t /var/www/html/wordpress/wp-content (oczywiście jeśli będziemy zakładać jakieś podkatalogi w tym katalogu np. uploads należy to zrobić wcześniej)

3. Ponieważ jest jakiś błąd w Wordpressie typu: "Download failed.: name lookup timed out; Plugin upgrade Failed" należy dodać do /etc/hosts wpis: "72.233.56.139 downloads.wordpress.org "

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Share
Przejdź do listy tematów
×
×
  • Dodaj nową pozycję...