https://www.opennet.ru/openforum/vsluhforumID1/96540.html Всем привет! Есть vds-ка: CentOS 7 / SELinux / dovecot / httpd / postfix / postfixadmin.<br>Postfixadmin при логине пытается запустить /usr/bin/doveadm для проверки пароля. Если SELinux выключен, все работает. Если включен, то возникают проблемы.<br><br>Вот часть лога /var/log/audit/audit.log:<br><br>type=AVC msg=audit(1461137622.601:691): avc: denied { read } for pid=7329 comm="doveadm" name="dovecot.conf" dev="sda1" ino=919678 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:dovecot_etc_t:s0 tclass=file<br><br>type=SYSCALL msg=audit(1461137622.601:691): arch=c000003e syscall=21 success=no exit=-13 a0=7fabb674a800 a1=4 a2=7fabb6742050 a3=6 items=0 ppid=7300 pid=7329 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="doveadm" exe="/usr/bin/doveadm" subj=system_u:system_r:httpd_t:s0 key=(null)<br><br>type=AVC msg=audit(1461137622.601:692): avc: denied { getattr } for pid=7329 comm="doveadm" path="/etc/dovecot/dovecot.conf" dev="sda1" ino=919678 s https://www.opennet.ru/openforum/vsluhforumID1/96540.html#6 Thu, 21 Apr 2016 03:28:38 GMT &gt; Взял из истории команд те же самые, загрузил модуль и, тысяча чертей, <br>&gt; пошло. Спасибо за отклик, помогли. А то я в дебри ушел <br>&gt; бы сто процентов, т.к. считал предыдущие шаги ошибочными.<br><br>:)<br><br> https://www.opennet.ru/openforum/vsluhforumID1/96540.html#5 Thu, 21 Apr 2016 03:27:27 GMT &gt; Зачем его разжёвывать? Я не говорил, что мне непонятна суть.<br><br>было разжевано для того, чтобы понять всю цепочку лога в audit и куда дальше копать :)<br><br>&gt; Мне непонятно вот что: для dovecot файл doveadm в самом деле "утилита". <br>&gt; Но она, эта утилита, чужая для httpd. Почему стоит вопрос так, <br>&gt; что надо утилите дать права на чтение конфига ее "хозяина" dovecot, <br>&gt; когда по идее должен стоять вопрос как вообще httpd допущен к <br>&gt; запуску /usr/bin/doveadm, которая bin_t. Мне это не совсем ясно.\<br><br>из selinuxproject.org:<br>----------------------------------<br># Using the type statement to declare a type of bin_t, where<br># bin_t is used to identify a file as an ordinary program type.<br><br>type bin_t;<br>----------------------------------<br><br>&gt; Еще больше непонятно. Я же не предлагаю отключать. В вашей терминологии я <br>&gt; с ним "дружусь" :) <br><br>ну и вам никто явно не говорил отключать, показали пути решения, выбирать барину :)<br> https://www.opennet.ru/openforum/vsluhforumID1/96540.html#4 Wed, 20 Apr 2016 19:08:44 GMT &gt; #============= httpd_t ============== <br>&gt; allow httpd_t dovecot_etc_t:file { read getattr open }; <br>&gt; allow httpd_t dovecot_etc_t:dir read; <br><br>После того, как вы прислали мне то, от чего я ушел в самом начале, подумалось, что если двое так считают, то все же имеет смысл попробовать еще разок:<br><br>grep dove /var/log/audit/audit.log &#124; audit2allow -M doveconf-module<br>semodule -i doveconf-module.pp<br><br>Взял из истории команд те же самые, загрузил модуль и, тысяча чертей, пошло. Спасибо за отклик, помогли. А то я в дебри ушел бы сто процентов, т.к. считал предыдущие шаги ошибочными.<br> https://www.opennet.ru/openforum/vsluhforumID1/96540.html#3 Wed, 20 Apr 2016 18:36:04 GMT &gt; если разжевать лог это выглядит так: <br>&gt; postfixadmin веб приложение, которое работает под httpd(Apache2 сервер) где в веб приложении(в <br>&gt; контексте httpd сервера) вызывается административная утилита /usr/bin/doveadm где данная <br>&gt; утилита обращается к своему конфигурационному файлу /etc/dovecot/dovecot.conf для выполнения <br>&gt; задачи <br><br>Зачем его разжёвывать? Я не говорил, что мне непонятна суть.<br><br>Мне непонятно вот что: для dovecot файл doveadm в самом деле "утилита". Но она, эта утилита, чужая для httpd. Почему стоит вопрос так, что надо утилите дать права на чтение конфига ее "хозяина" dovecot, когда по идее должен стоять вопрос как вообще httpd допущен к запуску /usr/bin/doveadm, которая bin_t. Мне это не совсем ясно.<br><br>&gt; #ps axZ &#124; grep httpd (отобразит текущие SELinux правила/контексты httpd процесса) <br><br>system_u:system_r:httpd_t:s0 2253 ? Ss 0:02 /usr/sbin/httpd -DFOREGROUND<br>system_u:system_r:httpd_t:s0 2255 ? S 0:00 /usr/sbin/httpd -DFOREGROUND<br>system_u:system https://www.opennet.ru/openforum/vsluhforumID1/96540.html#2 Wed, 20 Apr 2016 16:34:17 GMT &gt; Добавлю: меня сбивает с толку факт, что в логе /var/log/audit/audit.log указан стартовый <br>&gt; контекст (scontext=system_u:system_r:httpd_t:s0), в конфиге postfixadmin указан файл <br>&gt; /usr/bin/doveadm, а audit2allow предлагает решение: дать httpd_t доступ на чтение директории <br>&gt; конфигов dovecot. А где, собственно, указание httpd_t дать доступ к bin_t <br>&gt; (/usr/bin/doveadm)?<br><br>если разжевать лог это выглядит так:<br>postfixadmin веб приложение, которое работает под httpd(Apache2 сервер) где в веб приложении(в контексте httpd сервера) вызывается административная утилита /usr/bin/doveadm где данная утилита обращается к своему конфигурационному файлу /etc/dovecot/dovecot.conf для выполнения задачи<br><br>#ps axZ &#124; grep httpd (отобразит текущие SELinux правила/контексты httpd процесса)<br><br>вывод:<br>1- отключить SELinux (что не ахти) или переключить на Permissive или Enforcing<br>2- подружиться с SELinux (то что советуется в audit логах) при помощи TE(Type Enforcement) файла(писать самому или же использовать audit2all https://www.opennet.ru/openforum/vsluhforumID1/96540.html#1 Wed, 20 Apr 2016 14:58:24 GMT Добавлю: меня сбивает с толку факт, что в логе /var/log/audit/audit.log указан стартовый контекст (scontext=system_u:system_r:httpd_t:s0), в конфиге postfixadmin указан файл /usr/bin/doveadm, а audit2allow предлагает решение: дать httpd_t доступ на чтение директории конфигов dovecot. А где, собственно, указание httpd_t дать доступ к bin_t (/usr/bin/doveadm)?<br>