Название говорит само за себя: мне нужен fail2ban для мониторинга журналов на моем NFS, но он блокируется SELinux. Вот пример из логов selinux:
time->Thu Jan 9 03:56:45 2020
type=PROCTITLE msg=audit(1578560205.306:97): proctitle=2F7573722F62696E2F707974686F6E002D73002F7573722F62696E2F6661696C3262616E2D736572766572002D7866007374617274
type=SYSCALL msg=audit(1578560205.306:97): arch=c000003e syscall=257 success=yes exit=3 a0=ffffffffffffff9c a1=7f86f8001410 a2=90800 a3=0 items=0 ppid=1 pid=1145 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="fail2ban-server" exe="/usr/bin/python2.7" subj=system_u:system_r:fail2ban_t:s0 key=(null)
type=AVC msg=audit(1578560205.306:97): avc: denied { read } for pid=1145 comm="fail2ban-server" name="www" dev="dm-0" ino=17691430 scontext=system_u:system_r:fail2ban_t:s0 tcontext=unconfined_u:object_r:mnt_t:s0 tclass=dir permissive=1
Итак, для httpd есть логическое значение, которое довольно просто, но для fail2ban нет логического. Я попытался:
semanage permissive -a fail2ban_t
Я думал, что это просто позволит fail2ban делать что угодно (что является излишним), но это не так. Так что теперь мне нужно отменить это ... и разработать правильную политику. Любая помощь будет оценена.