Во-первых, моя установка. Я использую CentOS 6.4 и установил pure-ftpd (плюс модуль SELinux) из репозиториев EPEL:
> rpm -q pure-ftpd pure-ftpd-selinux
pure-ftpd-1.0.30-1.el6.x86_64
pure-ftpd-selinux-1.0.30-1.el6.x86_64
После попыток заставить это работать с SELinux должным образом, я попробовал setsebool
несколько вещей:
allow_ftpd_full_access --> on
ftp_home_dir --> on
ftpd_use_passive_mode --> on
Контекст, в котором работает pure-ftpd (как root.root
):
system_u:system_r:ftpd_t:s0-s0:c0.c1023 25196 ? Ss 0:00 pure-ftpd (SERVER)
Теперь проблема. По неизвестной причине SELinux отклоняет попытки входа в систему без входа в систему. /var/log/audit/audit.log
. pure-ftpd регистрирует это (в -d -d
Режим) :
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [INFO] New connection from <my_ip>
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220-You are user number 1 of 50 allowed.
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220-Local time is now 17:53. Server port: 21.
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220-This is a private system - No anonymous login
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220-IPv6 connections are also welcome on this server.
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220 You will be disconnected after 15 minutes of inactivity.
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] Command [auth] [TLS]
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 234 AUTH TLS OK.
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [INFO] SSL/TLS: Enabled TLSv1/SSLv3 with DHE-RSA-AES256-SHA, 256 secret bits cipher
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] Command [user] [admin]
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 331 User admin OK. Password required
Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] Command [pass] [<*>]
Jul 10 17:53:42 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 530 Login authentication failed
Jul 10 17:53:42 <hostname> pure-ftpd: (?@<my_ip>) [WARNING] Authentication failed for user [admin]
Jul 10 17:53:42 <hostname> pure-ftpd: (?@<my_ip>) [INFO] Logout.
Jul 10 17:53:42 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 530 Logout.
Когда я setenforce 0
, логин внезапно работает нормально. Когда я тогда setenforce 1
снова и снова подключиться, это не позволит мне войти.
Очередной раз: auditd ничего не регистрирует а журналы чистого ftpd бесполезны. /var/log/secure
также остается пустым и tail -f /var/log/*
показывает только сообщения системного журнала, которые я вставил выше.
Для полноты он мой pure-ftpd.conf
:
# Core
Daemonize yes
#PassivePortRange 35000 35999
ProhibitDotFilesWrite no
ProhibitDotFilesRead no
# Security
#ChrootEveryone yes
NoAnonymous yes
UnixAuthentication yes
MinUID 499
UseFtpUsers no
#TLS 2
VerboseLog yes
VerboseLog yes
# Logging
SyslogFacility local5
AltLog clf:/var/log/pureftpd.log
# Performance
DontResolve yes
MaxIdleTime 15
LimitRecursion 10000 8
MaxLoad 4
MaxDiskUsage 99
# Customer happy
CustomerProof yes
NoTruncate yes
#AllowUserFXP yes
Ваша помощь будет очень признательна.
Отмечен ряд политик SELinux. dontaudit
так, что они не оставлять сообщения в журнале аудита. Обычно это происходит потому, что это политики, которые просто спамят журнал бесполезными записями, но иногда разработчики dontaudit
отрицание, а не устранение основной проблемы. Политика, которую вы используете, почти наверняка входит в их число, так как вы не видите никаких сообщений, когда вы авторизуетесь. audit.log
.
Вы можете временно отключить dontaudit
запустив:
semodule -DB
После того, как вы обнаружили причину проблемы, снова включите dontaudit
с участием:
semodule -B
Чтобы создать свою политику после ее создания, запустите:
make -f /usr/share/selinux/devel/Makefile