Wie kann ich zulassen, dass SELinux den Zugriff auf eine Datei zulässt?

2226
UtahJarhead

Ich besitze eine proprietäre Software, die mein Unternehmen besitzt und auf eine Datei auf Stammebene zugreifen muss. Wir nennen es, /secfileda es sich um Sicherheit / Lizenzen handelt. Das System führt einen Dämon aus, in den aktualisierte Informationen geschrieben werden /secfile. Wenn dieser Dämon an der Aktualisierung gehindert /secfilewird, wird die betreffende Lizenz ungültig, da ein fehlerhaftes Spiel angenommen wird.

Wie kann ich SELinux zwingen, dem Daemon, auf dem es sich befindet /bin/secdaemon, Zugriff zu gewähren /secfile?

Die einzige andere Anwendung, auf die Zugriff (die derzeit nicht eingeschränkt ist) benötigt wird, /secfileist /usr/bin/licensemanager.

0

1 Antwort auf die Frage

2
nKn

Am einfachsten ist es jedoch, SELinux zu deaktivieren, was ich jedoch nicht empfehlen kann:

setenforce 0

Sie können auch eine Regel erstellen, die das Schreiben, Ausführen oder das, was sie tun muss und das bisher blockiert ist, zulässt. Überprüfen Sie dazu Ihre Systemprotokolldatei und kopieren Sie die Zeile, die "abgelehnt" ist. Es sollte etwa so aussehen:

audit(...): avc: denied { write } for pid=27984 comm="httpd" name="httpd" dev=sda6 ino=307469 scontext=root:system_r:httpd_t:s0 tcontext=system_u:object_r:usr_t:s0 tclass=...

Kopieren Sie es und führen Sie den folgenden Befehl aus:

audit2allow -M local << _EOF_ (paste the content) _EOF_

Dann renne:

semodule -i local.pp

Dadurch wird eine permanente Regel erstellt, sodass Sie SELinux nicht deaktivieren müssen.

Einverstanden. Ich habe es auf Testsystemen deaktiviert, aber da immer mehr Kunden auf SELinux-fähige Maschinen umsteigen, würden sie es offensichtlich vorziehen, es aktiviert zu lassen. UtahJarhead vor 9 Jahren 0
Vergessen Sie nicht zu erwähnen: Sie können ** alle ** die "verweigerten" Zeilen auf einmal packen und einfügen. Beenden Sie das Einfügen einfach mit der Zeile "_EOF_" und der Befehl "audit2allow" generiert so viele Regeln, wie sie im `local benötigt werden. pp`-Datei. nKn vor 9 Jahren 1
Ich werde die Antwort aktualisieren und genehmigen, sobald ich die Funktionsfähigkeit überprüfen kann. UtahJarhead vor 9 Jahren 0

Verwandte Probleme