Настройте selinux для разрешения openldap на CentOS 6.4

Если вы отфильтруете журналы аудита с помощью audit2allow (1) и audit2why , вы получите приблизительное представление о том, что происходит:

#============= slapd_t ==============
allow slapd_t self:capability sys_nice;
allow slapd_t var_log_t:file { write read };
------------------------------------

    Was caused by:
            Missing type enforcement (TE) allow rule.

            You can use audit2allow to generate a loadable module to allow this access.

type=AVC msg=audit(1372888328.408:3263): avc:  denied  { sys_nice } for  pid=1492 comm=slapd capability=23  scontext=unconfined_u:system_r:slapd_t:s0 tcontext=unconfined_u:system_r:slapd_t:s0 tclass=capability

    Was caused by:
            Missing type enforcement (TE) allow rule.

            You can use audit2allow to generate a loadable module to allow this access.

type=AVC msg=audit(1372888328.424:3264): avc:  denied  { read } for  pid=1493 comm=slapd name=log.0000000001 dev=dm-0 ino=263969 scontext=unconfined_u:system_r:slapd_t:s0 tcontext=unconfined_u:object_r:var_log_t:s0 tclass=file

    Was caused by:
            Missing type enforcement (TE) allow rule.

            You can use audit2allow to generate a loadable module to allow this access.

Проверка метки

Маловероятно, что восстановление метки помешает вам запустить службу , если SELinux находится в разрешающем режиме . Кроме того, зачем нужен переключатель -F ?

Чтобы узнать, нужно ли восстанавливать метку каталога или файла, сначала выясните, какой контекст должен иметь файл или каталог:

# matchpathcon /etc/openldap/
/etc/openldap   system_u:object_r:etc_t:s0

Затем перечислите его контекст безопасности:

# ls -ldZ /etc/openldap/
drwxr-xr-x. root root system_u:object_r:etc_t:s0       /etc/openldap//

В этом примере никаких дополнительных действий не требуется.

Что касается вашей проблемы, проблема заключается не в маркировке как таковой , а в отсутствии принудительного применения типа , то есть правило, которое позволяет помеченному процессу переходить из одного ограниченного домена в другой, или, например, для чтения файлов с определенной меткой.

Создание модуля SELinux

Вы можете попытаться создать модуль, который позволяет slapd_t выполнять операции, указанные в audit.log . Вероятно, вам потребуются дальнейшие корректировки в вашем коде. Используйте для этой задачи audit2allow и make . Все команды очень хорошо документированы на соответствующих страницах руководства. Процесс будет выглядеть примерно так (после копирования соответствующих сообщений в audit.txt ):

audit2allow -i audit.txt -m slapd -o slapd.te
make -f /usr/share/selinux/devel/Makefile load

Также проверьте, существует ли уже отчет об ошибке для политики SELinux относительно этой проблемы.

Создание модуля SELinux

Вы можете попытаться создать модуль, который позволяет slapd_t выполнять операции, указанные в audit.log . Вероятно, вам потребуются дальнейшие корректировки в вашем коде. Используйте для этой задачи audit2allow и make . Все команды очень хорошо документированы на соответствующих страницах руководства. Процесс будет выглядеть примерно так (после копирования соответствующих сообщений в audit.txt ):

audit2allow -i audit.txt -m slapd -o slapd.te
make -f /usr/share/selinux/devel/Makefile load

Также проверьте, существует ли уже отчет об ошибке для политики SELinux относительно этой проблемы.

Создание модуля SELinux

Вы можете попытаться создать модуль, который позволяет slapd_t выполнять операции, указанные в audit.log . Вероятно, вам потребуются дальнейшие корректировки в вашем коде. Используйте для этой задачи audit2allow и make . Все команды очень хорошо документированы на соответствующих страницах руководства. Процесс будет выглядеть примерно так (после копирования соответствующих сообщений в audit.txt ):

audit2allow -i audit.txt -m slapd -o slapd.te
make -f /usr/share/selinux/devel/Makefile load

Также проверьте, существует ли уже отчет об ошибке для политики SELinux относительно этой проблемы.