Hallo,
laufe gerade in ein SeLinux Proble beim Postfix 3.4.5 DANKE "Jango" :-) Ich wollte das neue extra Logging ausprobieren mit dem Parameter maillog_file =/var/log/postfix.log Da weigert sich aber Selinux, der sperrt den Zugriff von postlog auf das File und meint das ist ein Directory?
Leiderr funktioniert auch eine Ausnahme Regel nicht # ausearch -c 'postlog' --raw | audit2allow -M my-postlog # semodule -i my-postlog.pp
auch nach einspielen dieser Regel startet postfix nicht mehr.
Es geht nur entweder Parameter rausnehmen oder SeLinux abschalten
Hat dazu jemand einen besseren Vorschlag!
Danke für eine Antwort.
Hallo, wie gewünscht ;-),
Am Montag, 13. Mai 2019, 14:36:26 CEST schrieb Kai Bojens:
Am 13.05.19 um 14:14 schrieb Günther J. Niederwimmer:
Hat dazu jemand einen besseren Vorschlag!
Poste doch einmal die ganze SELinux Meldung dazu. Dann wisse wir auch, was genau das Problem beim Zugriff ist.
Anscheinend kennt die Policy von SeLnux "postlog" noch nicht?
***** Plugin catchall (100. Wahrscheinlichkeit) schlägt vor **************
If you believe that postlog should be allowed write access on the postfix.log directory by default. Dann sie sollten dies als Fehler melden. Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen. Ausführen allow this access for now by executing: # ausearch -c 'postlog' --raw | audit2allow -M my-postlog # semodule -i my-postlog.pp
zusätzliche Information: Quellkontext system_u:system_r:postfix_master_t:s0 Zielkontext system_u:object_r:var_log_t:s0 Zielobjekte /var/log/postfix.log [ dir ] Quelle postlog Quellpfad /usr/sbin/postlog Port <Unknown> Host <Unknown> RPM-Pakete der Quelle postfix-3.4.5-1.el7.x86_64 RPM-Pakete des Ziels Richtlinien-RPM selinux-policy-3.13.1-229.el7_6.12.noarch SELinux aktiviert True Richtlinientyp targeted Enforcing-Modus Permissive Rechnername mx02.esslmaier.at Plattform Linux mx02.esslmaier.at 3.10.0-957.12.1.el7.x86_64 #1 SMP Mon Apr 29 14:59:59 UTC 2019 x86_64 x86_64 Anzahl der Alarme 1 Zuerst gesehen 2019-05-13 12:49:35 CEST Zuletzt gesehen 2019-05-13 12:49:35 CEST Lokale ID 28517555-d503-4e5e-869f-4b173694a7e3
Raw-Audit-Meldungen type=AVC msg=audit(1557744575.577:46341): avc: denied { write } for pid=12846 comm="postlog" name="log" dev="vda2" ino=67195623 scontext=system_u:system_r:postfix_master_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=dir permissive=1
type=AVC msg=audit(1557744575.577:46341): avc: denied { add_name } for pid=12846 comm="postlog" name="postfix.log" scontext=system_u:system_r:postfix_master_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=dir permissive=1
type=AVC msg=audit(1557744575.577:46341): avc: denied { create } for pid=12846 comm="postlog" name="postfix.log" scontext=system_u:system_r:postfix_master_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=file permissive=1
type=AVC msg=audit(1557744575.577:46341): avc: denied { open } for pid=12846 comm="postlog" path="/var/log/postfix.log" dev="vda2" ino=67190772 scontext=system_u:system_r:postfix_master_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=file permissive=1
type=SYSCALL msg=audit(1557744575.577:46341): arch=x86_64 syscall=open success=yes exit=ESRCH a0=56095d7dc2c0 a1=4c1 a2=1a4 a3=7feab6f3ec8c items=2 ppid=12767 pid=12846 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=postlog exe=/usr/sbin/postlog subj=system_u:system_r:postfix_master_t:s0 key=(null)
type=CWD msg=audit(1557744575.577:46341): cwd=/var/spool/postfix
type=PATH msg=audit(1557744575.577:46341): item=0 name=/var/log/ inode=67195623 dev=fd:02 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:var_log_t:s0 objtype=PARENT cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1557744575.577:46341): item=1 name=/var/log/postfix.log inode=67190772 dev=fd:02 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:var_log_t:s0 objtype=CREATE cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
Hash: postlog,postfix_master_t,var_log_t,dir,write
Am 13.05.19 um 15:17 schrieb Günther J. Niederwimmer:
Quellkontext system_u:system_r:postfix_master_t:s0 Zielkontext system_u:object_r:var_log_t:s0 Zielobjekte /var/log/postfix.log [ dir ]
Müsste es hier nicht genügen, den Kontext des Verzeichnisses oder der Zieldatei zu ändern?
Was zeigt denn „ls -alZ /var/log/postfix.log” (oder das /varlog) als Ergebnis?
Hallo,
Am Montag, 13. Mai 2019, 15:21:32 CEST schrieb Kai Bojens:
Am 13.05.19 um 15:17 schrieb Günther J. Niederwimmer:
Quellkontext system_u:system_r:postfix_master_t:s0 Zielkontext system_u:object_r:var_log_t:s0 Zielobjekte /var/log/postfix.log [ dir ]
Müsste es hier nicht genügen, den Kontext des Verzeichnisses oder der Zieldatei zu ändern?
Was zeigt denn „ls -alZ /var/log/postfix.log” (oder das /varlog) als Ergebnis?
Nach meiner Ansicht, hat hat das File zu viele Privilegien?
Es wurde nach dem abschalten von SeLinux automatisch erzeugt.
ls -alZ /var/log/postfix.log -rw-r--r--. root root system_u:object_r:var_log_t:s0 /var/log/postfix.log
ls -alZ /var/log/ drwxr-xr-x. root root system_u:object_r:var_log_t:s0 . drwxr-xr-x. root root system_u:object_r:var_t:s0 .. drwxr-xr-x. root root system_u:object_r:var_log_t:s0 anaconda drwx------. root root system_u:object_r:auditd_log_t:s0 audit .....
-rw-------. root root system_u:object_r:var_log_t:s0 maillog -rw-------. root root system_u:object_r:var_log_t:s0 maillog-20190421 -rw-------. root root system_u:object_r:var_log_t:s0 maillog-20190428 -rw-------. root root system_u:object_r:var_log_t:s0 maillog-20190505 -rw-------. root root system_u:object_r:var_log_t:s0 maillog-20190512 -rw-------. root root system_u:object_r:var_log_t:s0 messages
aber ich kenne mich mit SeLinux leider nicht so aus :-(.
-
Günther J. Niederwimmer -
Kai Bojens