TL; DR

SELinux блокирует самбу от чтения / var / log и всего содержимого

Проблема

Когда SELinux отключен, мои пользователи samba (sssd / kerberos, подключенные к AD 2008 R2) могут просматривать мой общий каталог / var / log. При включенном SELinux это не работает.

Мой / var / log / messages сниппет

Aug 29 13:28:38 servername kernel: [11625.509586] type=1400 audit(1472491718.859:35): avc:  denied  { read } for  pid=7492 comm="smbd" name="spamfilter-all.log" dev="dm-3" ino=26 scontext=system_u:system_r:smbd_t:s0 tcontext=unconfined_u:object_r:var_log_t:s0 tclass=lnk_file
Aug 29 13:28:38 servername kernel: [11625.626225] type=1400 audit(1472491718.975:36): avc:  denied  { getattr } for  pid=7492 comm="smbd" path="/var/log/remote/192.168.11.1" dev="dm-3" ino=1966096 scontext=system_u:system_r:smbd_t:s0 tcontext=unconfined_u:object_r:var_log_t:s0 tclass=lnk_file

Бег audit2allow < ~/logsnippet показывает

#============= smbd_t ==============

#!!!! This avc can be allowed using one of the these booleans:
#     samba_export_all_ro, samba_export_all_rw
allow smbd_t var_log_t:lnk_file { read getattr };

Что я уже пробовал

Из https://wiki.centos.org/HowTos/SELinux, Я попытался использовать audit2allow для создания модуля, который затем загрузил:

audit2allow < ~/logsnippet -M allow_samba_var_log
semodule -i allow_samba_var_log.pp

Модуль установлен, так как вижу его в semodule -l | grep allow но я все еще не могу получить доступ к / var / log через самбу.

Что я не могу сделать

• Отключить SELinux
• https://lists.samba.org/archive/samba/2006-May/120632.html предлагает изменить исходный код, но я не уверен, что хочу попытаться изменить исходный код для пакета selinux (в этой ссылке указано имя selinux-policy-target-sources). Кто-нибудь может убедить меня сделать это, если потребуется.

Конечные результаты

В итоге я включил логическое значение samba_export_all_ro.