Я пытаюсь разрешить пользователю zabbix отправлять электронную почту, используя ssmtps. Настроил все, кроме SeLinux. Для SeLinux булевы для zabbix нет такого элемента, как httpd_can_sendmail. PS: Я могу отправлять электронную почту, когда отключу SeLinux. Но я не хочу так решать.
--------------------------------
ОБНОВИТЬ [ПРОБЛЕМА Решено]
--------------------------------
Я решил это следующим образом. Я думаю, что таким образом можно решить многие проблемы, связанные с SeLinux, если вы включили ведение журнала аудита.
1. tail -f /var/log/audit/audit.log | grep zabbix | grep denied >>
/tmp/zabbix_mail_1
2. Попробуйте отправить письмо через пользователя zabbix.
3. Дождитесь статуса 2-го шага, затем cat /tmp/zabbix_mail_1 | audit2allow -M zabbix_mail_1 Будет создано два файла zabbix_mail_1.te и zabbix_mail_1.pp в текущем каталоге
4. semodule -i zabbix_mail_1.pp
5. Повторяйте описанные выше шаги до тех пор, пока в /var/log/audit/audit.log не будет ошибок. Вы можете увеличить индекс / tmp / zabbix_mail_1 для дальнейших шагов по треку, что вы делали.
--------------------------------
[ПРОБЛЕМА Решено]
--------------------------------
Я решил это следующим образом. это блог помог мне. Я думаю, что таким образом можно решить многие проблемы, связанные с SeLinux, если вы включили ведение журнала аудита.
1. tail -f /var/log/audit/audit.log | grep zabbix | grep denied >>
/tmp/zabbix_mail_1
2. Попробуйте отправить письмо через пользователя zabbix.
3. Дождитесь статуса 2-го шага, затем cat /tmp/zabbix_mail_1 | audit2allow -M zabbix_mail_1 Будет создано два файла zabbix_mail_1.te и zabbix_mail_1.pp в текущем каталоге
4. semodule -i zabbix_mail_1.pp
5. Повторяйте описанные выше шаги до тех пор, пока в /var/log/audit/audit.log не будет ошибок. Вы можете увеличить индекс / tmp / zabbix_mail_1 для дальнейших шагов по треку, что вы делали.
Инструмент для просмотра информации журнала SELinux вместе с командами, разрешающими заблокированную команду / процесс.
yum install setroubleshoot-server
Затем, чтобы просмотреть журнал
sealert -a /var/log/audit/audit.log
Пример вывода:
***** Plugin public_content (32.5 confidence) suggests ********************
If you want to treat framework.css as public content
Then you need to change the label on framework.css to public_content_t or public_content_rw_t.
Do
# semanage fcontext -a -t public_content_t '/var/www/html/framework.css'
# restorecon -v '/var/www/html/framework.css'
***** Plugin catchall (4.5 confidence) suggests ***************************
If you believe that smbd should be allowed getattr access on the framework.css file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'smbd' --raw | audit2allow -M my-smbd
# semodule -i my-smbd.pp
Как вы можете видеть выше, он жалуется на framework.css и предлагает решение.
Заметка - ОС не была включена, поэтому я предположил, что RHEL.