Hallo, wie gewünscht ;-),
Am Montag, 13. Mai 2019, 14:36:26 CEST schrieb Kai Bojens:
Am 13.05.19 um 14:14 schrieb Günther J. Niederwimmer:
Hat dazu jemand einen besseren Vorschlag!
Poste doch einmal die ganze SELinux Meldung dazu. Dann wisse wir auch, was genau das Problem beim Zugriff ist.
Anscheinend kennt die Policy von SeLnux "postlog" noch nicht?
***** Plugin catchall (100. Wahrscheinlichkeit) schlägt vor **************
If you believe that postlog should be allowed write access on the postfix.log directory by default. Dann sie sollten dies als Fehler melden. Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen. Ausführen allow this access for now by executing: # ausearch -c 'postlog' --raw | audit2allow -M my-postlog # semodule -i my-postlog.pp
zusätzliche Information: Quellkontext system_u:system_r:postfix_master_t:s0 Zielkontext system_u:object_r:var_log_t:s0 Zielobjekte /var/log/postfix.log [ dir ] Quelle postlog Quellpfad /usr/sbin/postlog Port <Unknown> Host <Unknown> RPM-Pakete der Quelle postfix-3.4.5-1.el7.x86_64 RPM-Pakete des Ziels Richtlinien-RPM selinux-policy-3.13.1-229.el7_6.12.noarch SELinux aktiviert True Richtlinientyp targeted Enforcing-Modus Permissive Rechnername mx02.esslmaier.at Plattform Linux mx02.esslmaier.at 3.10.0-957.12.1.el7.x86_64 #1 SMP Mon Apr 29 14:59:59 UTC 2019 x86_64 x86_64 Anzahl der Alarme 1 Zuerst gesehen 2019-05-13 12:49:35 CEST Zuletzt gesehen 2019-05-13 12:49:35 CEST Lokale ID 28517555-d503-4e5e-869f-4b173694a7e3
Raw-Audit-Meldungen type=AVC msg=audit(1557744575.577:46341): avc: denied { write } for pid=12846 comm="postlog" name="log" dev="vda2" ino=67195623 scontext=system_u:system_r:postfix_master_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=dir permissive=1
type=AVC msg=audit(1557744575.577:46341): avc: denied { add_name } for pid=12846 comm="postlog" name="postfix.log" scontext=system_u:system_r:postfix_master_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=dir permissive=1
type=AVC msg=audit(1557744575.577:46341): avc: denied { create } for pid=12846 comm="postlog" name="postfix.log" scontext=system_u:system_r:postfix_master_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=file permissive=1
type=AVC msg=audit(1557744575.577:46341): avc: denied { open } for pid=12846 comm="postlog" path="/var/log/postfix.log" dev="vda2" ino=67190772 scontext=system_u:system_r:postfix_master_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=file permissive=1
type=SYSCALL msg=audit(1557744575.577:46341): arch=x86_64 syscall=open success=yes exit=ESRCH a0=56095d7dc2c0 a1=4c1 a2=1a4 a3=7feab6f3ec8c items=2 ppid=12767 pid=12846 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=postlog exe=/usr/sbin/postlog subj=system_u:system_r:postfix_master_t:s0 key=(null)
type=CWD msg=audit(1557744575.577:46341): cwd=/var/spool/postfix
type=PATH msg=audit(1557744575.577:46341): item=0 name=/var/log/ inode=67195623 dev=fd:02 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:var_log_t:s0 objtype=PARENT cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1557744575.577:46341): item=1 name=/var/log/postfix.log inode=67190772 dev=fd:02 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:var_log_t:s0 objtype=CREATE cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
Hash: postlog,postfix_master_t,var_log_t,dir,write