Я попробовал этот ответ ( https: / /serverfault.com/a/744756/123651), но по-прежнему выдает ошибку.
7 января 23:56:33 ip-172-31-15-65 opendkim [24223]: AF15521407: dkim_eoh () : ресурс недоступен: невозможно создать временный файл в /var/tmp/dkim.AF15521407.ennuJK: В доступе отказано
Вот некоторые из audit.log
type=AVC msg=audit(1483827348.024:363280): avc: denied { write } for pid=22334 comm="opendkim" name="tmp" dev=xvde ino=40961 scontext=unconfined_u:system_r:dkim_milter_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=dir
type=SYSCALL msg=audit(1483827348.024:363280): arch=c000003e syscall=2 success=no exit=-13 a0=7f7eecd1f910 a1=c2 a2=180 a3=0 items=0 ppid=22035 pid=22334 auid=0 uid=495 gid=495 euid=495 suid=495 fsuid=495 egid=495 sgid=495 fsgid=495 tty=(none) ses=4038 comm="opendkim" exe="/usr/sbin/opendkim" subj=unconfined_u:system_r:dkim_milter_t:s0 key=(null)
# cat opendkim.te
module opendkim 1.0;
require {
type tmp_t;
type dkim_milter_t;
class dir write;
}
#============= dkim_milter_t ==============
#!!!! The source type 'dkim_milter_t' can write to a 'dir' of the following types:
# dkim_milter_data_t, cluster_var_lib_t, cluster_var_run_t, root_t, cluster_conf_t
allow dkim_milter_t tmp_t:dir write;
# semodule -i opendkim.pp
# ls -ldZ /var/tmp
drwxrwxrwt. root root system_u:object_r:tmp_t:s0 /var/tmp
# service opendkim restart
Stopping OpenDKIM Milter: [ OK ]
Starting OpenDKIM Milter: [ OK ]
Я не знаю, что еще попробовать .
Ссылка: Я использовал это руководство: https://www.rosehosting.com/blog/how-to-install-and-integrate-opendkim-with-postfix-on-a-centos-6-vps /
CentOS release 6.8 (Final)
Нет необходимости разрешать OpenDKIM писать в любые другие каталоги. Просто напишите во временный каталог по умолчанию, / var / run / opendkim
, который уже должен существовать и иметь правильный контекст SELinux, позволяющий записывать в него.
Я думаю, что то, что сказал Майкл Хэмптон ♦
, является лучшим решением.
Но что, если вам действительно нужно установить Temporary
на / var / tmp
Тогда вы можете попробовать следующее.
Нам нужно изменить политику, которая изначально была у dkim_milter_t
.
Итак, создайте файл .te
(пример opendkim.te
ниже)
Пусть dkim_milter_t
имеет разрешение на доступ к tmp_t
какой тип это каталог / var / tmp /
.
# ll -Zd / var / tmp /
drwxrwxrwt. root root system_u: object_r: tmp_t: s0 / var / tmp /
файл может выглядеть так, как показано ниже
module opendkim 1.0;
require {
type tmp_t;
type dkim_milter_t;
class dir { write remove_name add_name };
class file { write create unlink open };
}
allow dkim_milter_t tmp_t:dir { write remove_name add_name };
allow dkim_milter_t tmp_t:file { write create unlink open };
Конечно, вы можете изменить его подходящим образом. но я думаю, что это то, что вам нужно меньше всего.
На самом деле он дает dkim_milter_t
разрешение на запись, удаление, создание открытого файла из / var / tmp /
, повторное создание opendkim.pp вручную
checkmodule -M -m -o opendkim.mod opendkim .te
semodule_package -o opendkim.pp -m opendkim.mod
Разрешить изменение
semodule -i opendkim.pp
Возможно, вам потребуется дополнительная помощь здесь . И для человек .
Во-первых, пакет setroubleshoot
предоставляет sealert
, которая позволит вам устранять неполадки в журналах, связанных с SELinux, и предлагать решения, хотя, возможно, и не самые безопасные.
Документация EL6: Ссылка
Документация EL7: Ссылка
Ответ Майкла Хэмптона хорош, потому что каталог по умолчанию - / var / run / opendkim
с правильным типом dkim_milter_data_t
SELinux.Однако, чтобы ответить на ваш вопрос, вы можете создать новый каталог с именем / var / tmp / opendkim
(или как угодно еще, как вы хотите его назвать) с правильными разрешениями и контекстом SELinux с помощью следующих команд:
mkdir -p /var/tmp/opendkim
chown opendkim:opendkim /var/tmp/opendkim
chmod 0775 /var/tmp/opendkim
semanage fcontext -a -t dkim_milter_data_t "/var/tmp/opendkim(/.*)?"
restorecon -rv /var/tmp/opendkim
Эти изменения сохраняются после перезагрузки, и вы должны обновить конфигурацию opendkim, чтобы использовать этот вновь созданный каталог, который выходит за рамки этого ответа.
# setenforce permissive
# service opendkim restart
... send mail to myself ...
# setenforce enforcing
# grep opendkim /var/log/audit/audit.log | audit2allow -M opendkim
# cat opendkim.te
module opendkim 1.0;
require {
type tmp_t;
type dkim_milter_t;
type sysctl_vm_t;
class dir { write remove_name search add_name };
class file { write read create unlink open };
}
#============= dkim_milter_t ==============
allow dkim_milter_t sysctl_vm_t:dir search;
allow dkim_milter_t sysctl_vm_t:file read;
#!!!! This avc is allowed in the current policy
allow dkim_milter_t tmp_t:dir write;
allow dkim_milter_t tmp_t:dir { remove_name add_name };
#!!!! The source type 'dkim_milter_t' can write to a 'file' of the following types:
# dkim_milter_data_t, cluster_var_lib_t, cluster_var_run_t, root_t, cluster_conf_t
allow dkim_milter_t tmp_t:file { write create unlink open };
# semodule -i opendkim.pp