На fc29 у меня установлен clamd, и clamd@scan.service работает нормально. clamdscan запускается для root, но не для обычного пользователя, даже после добавления в группу clamscan.
dnf list installed | grep clam
clamav.x86_64 0.101.0-3.fc29 @updates
clamav-filesystem.noarch 0.101.0-3.fc29 @updates
clamav-lib.x86_64 0.101.0-3.fc29 @updates
clamav-update.x86_64 0.101.0-3.fc29 @updates
clamd.x86_64 0.101.0-3.fc29 @updates
Запуск clamdscan от имени root работает нормально
clamdscan --fdpass .
gpasswd -a reg_user clamscan
При запуске от имени пользователя в группе clamscan -
clamdscan --fdpass .
ERROR: Could not connect to clamd on LocalSocket /var/run/clamd.scan/clamd.sock: Permission denied
Все еще нет-
sudo -u reg_user clamdscan --fdpass .
ERROR: Could not connect to clamd on LocalSocket /var/run/clamd.scan/clamd.sock: Permission denied
Не удивительно-
sudo -u reg_user ls -la /var/run/clamd.scan
ls: cannot open directory '/var/run/clamd.scan': Permission denied
sudo -u clamscan ls -la /var/run/clamd.scan
total 0
drwx--x---. 2 clamscan virusgroup 60 Jan 9 10:24 .
drwxr-xr-x. 42 root root 1220 Jan 9 09:06 ..
srw-rw----. 1 clamscan virusgroup 0 Jan 9 10:24 clamd.sock
Вот настройки сокета в config-
cat /etc/clamd.d/scan.conf | grep ocket
LocalSocket /var/run/clamd.scan/clamd.sock
LocalSocketGroup virusgroup
LocalSocketMode 660
FixStaleSocket yes
Вот розетка-
ls -laZ /var/run/clamd.scan
total 0
drwx--x---. 2 clamscan virusgroup system_u:object_r:antivirus_var_run_t:s0 60 Jan 9 10:08 .
drwxr-xr-x. 42 root root system_u:object_r:var_run_t:s0 1220 Jan 9 09:06 ..
srw-rw----. 1 clamscan virusgroup system_u:object_r:antivirus_var_run_t:s0 0 Jan 9 10:08 clamd.sock
Вот группа-
cat /etc/group | grep clam
clamupdate:x:976:
virusgroup:x:975:clamupdate,clamscan
clamscan:x:974:reg_user
Это не блокируется selinux AFAIK. Я видел, что были некоторые дебаты по поводу разрешений папки сокета в вариантах redhat, но кажется, что clamdscan должен запускаться для любого пользователя в группе clamscan.