Я создал простой файловый сервер с Samba и Netatalk, работающий на CentOS 7.2. Все работает, как ожидалось, за исключением SELinux, который запрещает аутентификацию Samba из-за политики запрета записи на /var/tmp для билета Kerberos.
Это явная проблема SELinux, поскольку все работает, как ожидалось, если SELinux отключен и эти записи появляются в audit.log при попытке смонтировать SMB с SELinux в разрешающем режиме:
type=AVC msg=audit(1466917992.944:493): avc: denied { write } for pid=3902 comm="smbd" name="DALARAN-044_0" dev="dm-0" ino=50452330 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=file
type=AVC msg=audit(1466917992.944:493): avc: denied { open } for pid=3902 comm="smbd" path="/var/tmp/DALARAN-044_0" dev="dm-0" ino=50452330 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=file
type=SYSCALL msg=audit(1466917992.944:493): arch=c000003e syscall=2 success=yes exit=39 a0=7fa840d08290 a1=2 a2=180 a3=7ffc93307cb0 items=0 ppid=3578 pid=3902 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="smbd" exe="/usr/sbin/smbd" subj=system_u:system_r:smbd_t:s0 key=(null)
Я проверил онлайн, но не смог найти решение. Уже установлены некоторые биты SELinux, например:
getsebool -a | grep -iP "samba|smb|nmb|kerberos|krb|tmp"
gssd_read_tmp --> on
httpd_tmp_exec --> off
kerberos_enabled --> on
samba_create_home_dirs --> off
samba_domain_controller --> off
samba_enable_home_dirs --> on
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_load_libgfapi --> off
samba_portmapper --> off
samba_run_unconfined --> off
samba_share_fusefs --> off
samba_share_nfs --> off
sanlock_use_samba --> off
smbd_anon_write --> off
tmpreaper_use_nfs --> off
tmpreaper_use_samba --> off
use_samba_home_dirs --> off
virt_sandbox_use_samba --> off
virt_use_samba --> off
Так что чего-то не хватает, и я хотел бы, чтобы SELinux оставался включенным.
Спасибо,
Дополнительная информация:
Файл: /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
# default_realm = EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
# EXAMPLE.COM = {
# kdc = kerberos.example.com
# admin_server = kerberos.example.com
# }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
Файл: /etc/sssd/sssd.conf
[sssd]
domains = if.ufrj.br
config_file_version = 2
services = nss, pam
[domain/if.ufrj.br]
ad_domain = if.ufrj.br
krb5_realm = IF.UFRJ.BR
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
#use_fully_qualified_names = True
fallback_homedir = /home/%u
access_provider = ad
Файл: /etc/samba/smb.conf
[global]
server string = Samba Server Version %v
workgroup = IF
log file = /var/log/samba/log.%m
max log size = 50
log level = 3
security = ads
realm = IF.UFRJ.BR
kerberos method = system keytab
load printers = no
cups options = raw
printing = bsd
printcap name = /dev/null
[homes]
comment = Home Directories
browseable = no
writable = yes
vfs objects = catia fruit streams_xattr
fruit:resource = file
fruit:metadata = netatalk
fruit:locking = netatalk
fruit:encoding = native
Просматривая ваши сообщения через audit2allow, мы находим
#============= smbd_t ==============
#!!!! This avc can be allowed using the boolean 'samba_export_all_rw'
allow smbd_t tmp_t:file { write open };
Это говорит нам, что самбе не разрешено писать или открывать файлы с контекстом. tmp_t 1.
Вы можете перевести SELinux в разрешающий режим и дать системе поработать некоторое время для сбора полного набора сообщений об отказе, а затем использовать audit2allow для создания настраиваемого модуля, но вы можете использовать политику выхода. В selinux_samba (8) На странице руководства перечислены все логические значения и контексты файлов, которые связаны с samba.
Интересно может быть smbd_tmp_t и samba_var_t и политика поиска ( sesearch --allow -s smbd_t ... мы нашли
allow smbd_t smbd_tmp_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;
allow smbd_t samba_var_t : file { ioctl read write create getattr setattr lock append unlink link rename open } ;
Итак, файлы, помеченные как любой, будут делать то, что вы хотите. Я бы предпочел здесь использовать каталог и / или файлы с меткой smbd_tmp_t.
Поиск в базе данных регулярных выражений SELinux semange fcontext -l | grep smbd_tmp_t мы обнаруживаем, что записей нет. Так что нам нужно добавить один. Не знаю про самбу и керберос. Если вы можете настроить его так, чтобы он помещал билеты в определенный каталог (например, / var / tmp / samba), тогда это должно работать
semanage fcontext -a -t smbd_tmp_t "/var/tmp/samba(/.*)?"
mkdir /var/tmp/samba #(and set the file ownership and perms appropriately)
restorecon -r /var/tmp/samba
Если вам нужно использовать файл / var / tmp / DALARAN-044_0, тогда
semanage fcontext -a -t smbd_tmp_t "/var/tmp/DALARAN-044_0"
restorecon -r /var/tmp/DALARAN-044_0
Перезагрузите samba / kerberos / whatevever
1 Примечание: вы почти наверняка не хотите устанавливать это логическое значение, поскольку скомпрометированная самба будет иметь полный доступ для чтения / записи ко всем файлам в системе.
сегодня воскресенье, поздно, и бутылка Риохи была очень хорошей :)