[CentOS-de] SeLinux Postfix "LOG"

Günther J. Niederwimmer gjn at gjn.priv.at
Mo Mai 13 13:17:39 UTC 2019


Hallo,
wie gewünscht ;-),

Am Montag, 13. Mai 2019, 14:36:26 CEST schrieb Kai Bojens:
> Am 13.05.19 um 14:14 schrieb Günther J. Niederwimmer:
> > Hat dazu jemand einen besseren Vorschlag!
> 
> Poste doch einmal die ganze SELinux Meldung dazu. Dann wisse wir auch,
> was genau das Problem beim Zugriff ist.

Anscheinend kennt die Policy von SeLnux "postlog" noch nicht?

*****  Plugin catchall (100. Wahrscheinlichkeit) schlägt vor    **************

If you believe that postlog should be allowed write access on the postfix.log 
directory by default.
Dann sie sollten dies als Fehler melden.
Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul 
erstellen.
Ausführen
allow this access for now by executing:
# ausearch -c 'postlog' --raw | audit2allow -M my-postlog
# semodule -i my-postlog.pp


zusätzliche Information:
Quellkontext                  system_u:system_r:postfix_master_t:s0
Zielkontext                   system_u:object_r:var_log_t:s0
Zielobjekte                   /var/log/postfix.log [ dir ]
Quelle                        postlog
Quellpfad                     /usr/sbin/postlog
Port                          <Unknown>
Host                          <Unknown>
RPM-Pakete der Quelle         postfix-3.4.5-1.el7.x86_64
RPM-Pakete des Ziels          
Richtlinien-RPM               selinux-policy-3.13.1-229.el7_6.12.noarch
SELinux aktiviert             True
Richtlinientyp                targeted
Enforcing-Modus               Permissive
Rechnername                   mx02.esslmaier.at
Plattform                     Linux mx02.esslmaier.at 
3.10.0-957.12.1.el7.x86_64
                              #1 SMP Mon Apr 29 14:59:59 UTC 2019 x86_64 
x86_64
Anzahl der Alarme             1
Zuerst gesehen                2019-05-13 12:49:35 CEST
Zuletzt gesehen               2019-05-13 12:49:35 CEST
Lokale ID                     28517555-d503-4e5e-869f-4b173694a7e3

Raw-Audit-Meldungen
type=AVC msg=audit(1557744575.577:46341): avc:  denied  { write } for  
pid=12846 comm="postlog" name="log" dev="vda2" ino=67195623 
scontext=system_u:system_r:postfix_master_t:s0 
tcontext=system_u:object_r:var_log_t:s0 tclass=dir permissive=1


type=AVC msg=audit(1557744575.577:46341): avc:  denied  { add_name } for  
pid=12846 comm="postlog" name="postfix.log" 
scontext=system_u:system_r:postfix_master_t:s0 
tcontext=system_u:object_r:var_log_t:s0 tclass=dir permissive=1


type=AVC msg=audit(1557744575.577:46341): avc:  denied  { create } for  
pid=12846 comm="postlog" name="postfix.log" 
scontext=system_u:system_r:postfix_master_t:s0 
tcontext=system_u:object_r:var_log_t:s0 tclass=file permissive=1


type=AVC msg=audit(1557744575.577:46341): avc:  denied  { open } for  
pid=12846 comm="postlog" path="/var/log/postfix.log" dev="vda2" ino=67190772 
scontext=system_u:system_r:postfix_master_t:s0 
tcontext=system_u:object_r:var_log_t:s0 tclass=file permissive=1


type=SYSCALL msg=audit(1557744575.577:46341): arch=x86_64 syscall=open 
success=yes exit=ESRCH a0=56095d7dc2c0 a1=4c1 a2=1a4 a3=7feab6f3ec8c items=2 
ppid=12767 pid=12846 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 
sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=postlog exe=/usr/sbin/postlog 
subj=system_u:system_r:postfix_master_t:s0 key=(null)

type=CWD msg=audit(1557744575.577:46341): cwd=/var/spool/postfix

type=PATH msg=audit(1557744575.577:46341): item=0 name=/var/log/ 
inode=67195623 dev=fd:02 mode=040755 ouid=0 ogid=0 rdev=00:00 
obj=system_u:object_r:var_log_t:s0 objtype=PARENT cap_fp=0000000000000000 
cap_fi=0000000000000000 cap_fe=0 cap_fver=0

type=PATH msg=audit(1557744575.577:46341): item=1 name=/var/log/postfix.log 
inode=67190772 dev=fd:02 mode=0100644 ouid=0 ogid=0 rdev=00:00 
obj=system_u:object_r:var_log_t:s0 objtype=CREATE cap_fp=0000000000000000 
cap_fi=0000000000000000 cap_fe=0 cap_fver=0

Hash: postlog,postfix_master_t,var_log_t,dir,write

-- 
mit freundliche Grüßen / best regards,

  Günther J. Niederwimmer




Mehr Informationen über die Mailingliste CentOS-de