Я просто настраиваю сервер веб-хостинга с selinux в разрешающем режиме, то есть он незащищен, но записывает проблемы в файл журнала сообщений. Как только я исправлю все ошибки avc: denied, я переведу сервер в принудительный режим. Но вот в чем вопрос. В / var / log / messages у меня следующая ошибка:
Apr 3 14:32:30 narf kernel: type=1400 audit(1365013105.731:3): avc: denied { search } for pid=1319 comm="vsftpd" name="/" dev=dm-2 ino=2 scontext=system_u:system_r:ftpd_t:s0- s0:c0.c1023 tcontext=system_u:object_r:home_root_t:s0 tclass=dir
Теперь, как мне логически подойти к этому, есть ли у кого-нибудь какие-нибудь советы по торговле?
Похоже, вы хотите, чтобы FTP можно было использовать для обычных пользователей (у которых есть контент в / home).
Для решения этой проблемы существует логическое значение. Вы можете решить это, выполнив следующие действия ..
cat your_avc_txt.txt | audit2why
Что производит:
Apr 3 14:32:30 narf kernel: type=1400 audit(1365013105.731:3): avc: denied { search } for pid=1319 comm="vsftpd" name="/" dev=dm-2 ino=2 scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:home_root_t:s0 tclass=dir
Was caused by:
One of the following booleans was set incorrectly.
Description:
Allow ftp to read and write files in the user home directories
Allow access by executing:
# setsebool -P ftp_home_dir 1
Description:
Allow ftp servers to login to local users and read/write all files on the system, governed by DAC.
Allow access by executing:
# setsebool -P ftpd_full_access 1
Это говорит вам, какие логические значения управляют этим поведением и что они делают, вы должны включить логическое значение, которое является наиболее ограничивающим из двух. Так что в твоем случае ftp_home_dir.
Эта команда ниже была наиболее удобной для пользователя. Я просто audit2why весь audit.log.
/usr/bin/audit2why < /var/log/audit/audit.log