Как настроить SELinux, чтобы позволить апачу выполнять мерзавца
Мы использовали Exim в качестве передачи сервер SMTP, регистрирующийся в файл и Postgresql в течение нескольких лет. Я дал эскиз нашей установки здесь, но у нас также есть некоторые хеш-функции для создания ее допустимой в легальных целях и конечно нескольких стратегиях резервного копирования данных SQL и связанных файлов.
Огромное преимущество на файлы сообщений состоит в том, что они являются очень легко извлекаемыми и легкими повторно вставить в чью-то почтовую учетную запись.
Временно запустите вашу систему с помощью SELinux в разрешающем режиме (setenforce 0). Выполните обычные операции, чтобы ошибки регистрировались в audit.log.
Затем вы можете использовать audit2why , чтобы получить объяснение проблемы (-ов). Вы можете использовать audit2allow для создания загружаемого модуля политики. Так, например,
audit2allow <wyred.log
type=AVC msg=audit(1401182476.567:363184): avc: denied { read } for pid=11082 comm="ssh" name="known_hosts" dev=dm-0 ino=11272197 scontext=system_u:system_r:httpd_sys_script_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file
Was caused by:
Missing type enforcement (TE) allow rule.
You can use audit2allow to generate a loadable module to allow this
access.
, затем
audit2allow -M wyred <wyred.log
******************** IMPORTANT ***********************
To make this policy package active, execute:
semodule -i wyred.pp
сгенерирует файл .pp и файл readable.te.