Назад | Перейти на главную страницу

SELinux блокирует веб-приложение tomcat для загрузки собственной библиотеки Java (JNI) - как настроить SELinux на Centos 7?

У меня есть Centos 7 с установленным Tomcat и Кот пользователь

ls -l /var/lib/tomcat
total 0
drwxrwxrwx. 5 root tomcat 84 Jul  3 13:18 webapps

SELinux выполняет принудительную работу, и веб-приложение Java, которое пытается загрузить собственную библиотеку Java (JNI) из файлов общих объектов. Поэтому в папке / tmp / работать не может.

 java.lang.UnsatisfiedLinkError: /tmp/app/gdal_java/2018.07.03.14.52.59/libosrjni.so: 
/tmp/app/gdal_java/2018.07.03.14.52.59/libosrjni.so: failed to map segment from shared object: Permission denied

Если я отключу SELinux, нет проблем с загрузкой этих файлов в веб-приложение Java. Разрешение этого файла:

ls -lZ /tmp/app/gdal_java/2018.07.03.14.52.59/libosrjni.so
-rwxrwxrwx. tomcat tomcat system_u:object_r:tomcat_tmp_t:s0 /tmp/app/gdal_java/2018.07.03.14.52.59/libosrjni.so

Как я могу настроить SELinux, чтобы разрешить Кот пользователь для загрузки этих файлов из / tmp / app / папка?

Я попытался использовать эту команду и перезапустить tomcat, но у него все еще такая же ошибка

sudo semanage fcontext -a -t tomcat_tmp_t '/tmp/app_*/(.*)?'

Я использую инструмент audit2allow из комментария @ jordanm, чтобы разрешить tomcat иметь несколько разрешений (чтение, выполнение) в этой папке / tmp / app.

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security-enhanced_linux/sect-security-enhanced_linux-fixing_problems-allowing_access_audit2allow

cat /var/log/audit/audit.log  | audit2allow -a