[CentOS-de] SeLinux Postfix "LOG"
Günther J. Niederwimmer
gjn at gjn.priv.at
Mo Mai 13 13:17:39 UTC 2019
Hallo,
wie gewünscht ;-),
Am Montag, 13. Mai 2019, 14:36:26 CEST schrieb Kai Bojens:
> Am 13.05.19 um 14:14 schrieb Günther J. Niederwimmer:
> > Hat dazu jemand einen besseren Vorschlag!
>
> Poste doch einmal die ganze SELinux Meldung dazu. Dann wisse wir auch,
> was genau das Problem beim Zugriff ist.
Anscheinend kennt die Policy von SeLnux "postlog" noch nicht?
***** Plugin catchall (100. Wahrscheinlichkeit) schlägt vor **************
If you believe that postlog should be allowed write access on the postfix.log
directory by default.
Dann sie sollten dies als Fehler melden.
Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul
erstellen.
Ausführen
allow this access for now by executing:
# ausearch -c 'postlog' --raw | audit2allow -M my-postlog
# semodule -i my-postlog.pp
zusätzliche Information:
Quellkontext system_u:system_r:postfix_master_t:s0
Zielkontext system_u:object_r:var_log_t:s0
Zielobjekte /var/log/postfix.log [ dir ]
Quelle postlog
Quellpfad /usr/sbin/postlog
Port <Unknown>
Host <Unknown>
RPM-Pakete der Quelle postfix-3.4.5-1.el7.x86_64
RPM-Pakete des Ziels
Richtlinien-RPM selinux-policy-3.13.1-229.el7_6.12.noarch
SELinux aktiviert True
Richtlinientyp targeted
Enforcing-Modus Permissive
Rechnername mx02.esslmaier.at
Plattform Linux mx02.esslmaier.at
3.10.0-957.12.1.el7.x86_64
#1 SMP Mon Apr 29 14:59:59 UTC 2019 x86_64
x86_64
Anzahl der Alarme 1
Zuerst gesehen 2019-05-13 12:49:35 CEST
Zuletzt gesehen 2019-05-13 12:49:35 CEST
Lokale ID 28517555-d503-4e5e-869f-4b173694a7e3
Raw-Audit-Meldungen
type=AVC msg=audit(1557744575.577:46341): avc: denied { write } for
pid=12846 comm="postlog" name="log" dev="vda2" ino=67195623
scontext=system_u:system_r:postfix_master_t:s0
tcontext=system_u:object_r:var_log_t:s0 tclass=dir permissive=1
type=AVC msg=audit(1557744575.577:46341): avc: denied { add_name } for
pid=12846 comm="postlog" name="postfix.log"
scontext=system_u:system_r:postfix_master_t:s0
tcontext=system_u:object_r:var_log_t:s0 tclass=dir permissive=1
type=AVC msg=audit(1557744575.577:46341): avc: denied { create } for
pid=12846 comm="postlog" name="postfix.log"
scontext=system_u:system_r:postfix_master_t:s0
tcontext=system_u:object_r:var_log_t:s0 tclass=file permissive=1
type=AVC msg=audit(1557744575.577:46341): avc: denied { open } for
pid=12846 comm="postlog" path="/var/log/postfix.log" dev="vda2" ino=67190772
scontext=system_u:system_r:postfix_master_t:s0
tcontext=system_u:object_r:var_log_t:s0 tclass=file permissive=1
type=SYSCALL msg=audit(1557744575.577:46341): arch=x86_64 syscall=open
success=yes exit=ESRCH a0=56095d7dc2c0 a1=4c1 a2=1a4 a3=7feab6f3ec8c items=2
ppid=12767 pid=12846 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0
sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=postlog exe=/usr/sbin/postlog
subj=system_u:system_r:postfix_master_t:s0 key=(null)
type=CWD msg=audit(1557744575.577:46341): cwd=/var/spool/postfix
type=PATH msg=audit(1557744575.577:46341): item=0 name=/var/log/
inode=67195623 dev=fd:02 mode=040755 ouid=0 ogid=0 rdev=00:00
obj=system_u:object_r:var_log_t:s0 objtype=PARENT cap_fp=0000000000000000
cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1557744575.577:46341): item=1 name=/var/log/postfix.log
inode=67190772 dev=fd:02 mode=0100644 ouid=0 ogid=0 rdev=00:00
obj=system_u:object_r:var_log_t:s0 objtype=CREATE cap_fp=0000000000000000
cap_fi=0000000000000000 cap_fe=0 cap_fver=0
Hash: postlog,postfix_master_t,var_log_t,dir,write
--
mit freundliche Grüßen / best regards,
Günther J. Niederwimmer
Mehr Informationen über die Mailingliste CentOS-de