El 23/09/14 19:20, William Alexander Brito Vinas escribió:
He instalado clamav y clamd en un host corriendo bajo centos 7 y por lo que veo clamd no puede fucionar porque no puede crear los archivos en /var/run/{clamd.pid,clamd.sock}… o sea una cuestion de permisos.
Los permisos para el usuario clamav le permiten escribir en /var/run y eso resuelve creo la situacion de la creacion del pid file pero SELinux no le permite crear el socket.
Como no puedo arrancar clamav no puedo ver en que contexto de seguridad esta corriendo asi y por lo tanto no puedo modificar SELinux para pque le permita crear sock_file…
Existe alguna informacion que me puedan brindar antes de pasar a modo permisivo temporalmente?
Gracias
que paquetes has sinstalado y como inicializas el clamav en CentOS 7??
_________
yum install clamd clamav
** por supuesto con todas las dependencias….
chkconfig clamd on
service clamd start
freshclam -v
Ahora despues de haber perdido tiempo revisando audit.log, creando un modulo de politicas mas relajadas para el context antivirus_t y demas termine por poner seLinux en modo permisivo y el problema persistia. Sencillamente clamd corre con los privilegios del usuario clamav y este no tiene permiso de escritura sobre /var/run y no lo hace aunque le diga a selinux que antivirus_t puede casi que hacer lo que le de la gana con var_run_t.
Regrese selinux a su modo enforced y a continuacion hice la siguiente chapuceria:
modifique el archive /etc/init.d/clamd y ahi vi que al detener el demonio el script asumia que el archive con el PID y el socket estaban en el directorio principal de clamav (/var/clamav).
Modifique la configuracion en /etc/clamd.conf para que los archivos apuntaran hacia /var/clamd y fuciono sin problemas.
Despues regrese este cambio hacia atras, arregle las entradas en /etc/init.d/clamd para que apuntaran nuevamente a /var/run/{clam.pid, clamd.sock} y le meti la siguiente linea al comienzo del script
mkdir /var/run/clamav && chown clamav:clamav /var/run/clamav
Hasta aqui todo funciona bien entre reinicios del sistema pero parece un poco mediocre…y es que las ideas se me acabaron….
Espero una propuesta mas limpia
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
_______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-
William Alexander Brito Vinas