Jak v selinuxu pridat prava pro proces k adresari/souboru ?

Ing. Leoš Houser leos.houser na aacomputer.cz
Čtvrtek Březen 30 13:56:29 CEST 2017 

Dobrý den.

Trochu pozdě se připojuji k diskuzi, dostal jsem se k ní až teď.

Delší doba zavedení modulu SELinuxu je normální. Je také perzistentní, tzn. 
funguje i po rebootu, po aktualizaci jádra atd, dokud není příkazem
# semodule -r jmeno_modulu
odstraněn.

Zda je modul zaveden, zjistíme příkazem
# semodule -l |grep jmeno_modulu

Pro zájemce, podrobně je tento postup popsán v článku, který jsem kdysi 
publikoval https://it-blog.cz/selinux-na-rhel-a-centos-prakticky-iv/

Přeji hezký den. S pozdravem

--
Ing. Leoš Houser, ředitel
AA COMPUTER, s.r.o.
Konečná 917/25
360 05 Karlovy Vary
Mob.: +420 737 107 202
E-mail: leos.houser na aacomputer.cz
WWW: https://www.aacomputer.cz
Blog:    https://it-blog.cz


----- Původní zpráva ----- 
Od: "Petr Simek" <psimek na jcu.cz>
Komu: "Diskuse o Linuxu v cestine" <linux na linux.cz>
Odesláno: 30. března 2017 13:20
Předmět: Re: Jak v selinuxu pridat prava pro proces k adresari/souboru ?


On Thu, 30 Mar 2017, Adam Pribyl wrote:

Dobry den

dekuji za obsirny popis p. Kankovskeho i za tenhle zkraceny priklad.

Udelal jsem to nakonec podle nej a kupodivu to zafungovalo. V logu
byla hlaska co je za problem , audit2allow z ni udelal pravidlo ktere
je treba zadat a vytvoril i modul ktery po natazeni pomoci semodule
zpusobil ze to ted funguje. Dokonce i po rebootu :-)

...

   allow postfix_local_t arpwatch_data_t:file { getattr open read };


Kazdopadne diky - mam co jsem potreboval.


*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             psimek na jcu.cz                              |
*------------------------------------------------------------------------*


> Velice hezky napsano, skoro skoda, ze neco takoveho clovek na netu 
> nenajde.
> Ja pouzivam variantu 3 a jeji zapis ve zkracene forme vypada takto:
>
> grep "cochci" /var/log/audit/audit.log | adit2allow -M local
> semodule -i local.pp
>
> to uz nevypada tak slozite - z audit logu musite vzit opravdu jen to
> relevantni, bohuzel uz jsem zazil ruzna prekvapeni, ktera ani v audit logu
> videt nebyla.
>
> Pred casem jsem napr. resil jak dostat soubor, ktery prijde mailem na 
> web -
> to mate travers z postfixu pres procmail do httpd. Moc zabavne. Pritom bez
> selinuxu na tom nic neni.
>
>
>
> On Thu, 30 Mar 2017, Pavel Kankovsky wrote:
>
>> On Wed, 29 Mar 2017, Petr Simek wrote:
>>
>>> Jak pridat prava cteni uzivateli postfix na ten adresar 
>>> /var/lib/arpwatch

Další informace o konferenci Linux