- Se incorporó
- 7 Mayo 2011
- Mensajes
- 360
Incursionando en algunas cosas, me encontré con la siguiente problemática:
Servicios activos, directorios y contextos (tipo):
httpd -> /var/www/html/new -> httpd_sys_content_t
vsftpd -> /var/ftp/pub/new/ -> ftpd_t
SELinux está en modo Enforcing.
Al montar directorios con "mount --bind /var/www/html/new /var/ftp/pub/new", mantienen los contextos y entra (supongo) el problema.
Dependiendo del type que les asigne, se ven en un servicio o en el otro, no en ambos. En determinado momento, cambiando algunos contextos y probando permisos + atributos, el sistema no me permitía manipular nada. Por ejemplo, al tratar de cambiar owner, me denegaba el acceso.
audit.log
Por lo que puedo interpretar, es debido al tipo de contexto, sin embargo, no puedo cambiarlo ya que el directorio también está atado a otro tipo. Quizás hacen overlapping. Nada dentro del directorio está en uso.
Verifiqué toda conexión establecida. Firewall tampoco, está bien configurado para estos servicios. Al colocar SELinux en modo Permissive, puedo tener acceso desde ambos servicios sin problema.
Existe manera de tener esos archivos con contextos de SELinux diferentes? (Sé que mantienen el mismo inodo así que lo veo complicado, pero no sería la primera vez que me sorprenda)
Qué puede ser (o es)?
No me manejo mucho en SELinux. He buscado en mail-list y foros, pero no he encontrado nada.
De antemano gracias
Servicios activos, directorios y contextos (tipo):
httpd -> /var/www/html/new -> httpd_sys_content_t
vsftpd -> /var/ftp/pub/new/ -> ftpd_t
SELinux está en modo Enforcing.
Al montar directorios con "mount --bind /var/www/html/new /var/ftp/pub/new", mantienen los contextos y entra (supongo) el problema.
Dependiendo del type que les asigne, se ven en un servicio o en el otro, no en ambos. En determinado momento, cambiando algunos contextos y probando permisos + atributos, el sistema no me permitía manipular nada. Por ejemplo, al tratar de cambiar owner, me denegaba el acceso.
audit.log
type=AVC msg=audit(1445323011.911:1162): avc: denied { setattr } for pid=4681 comm="chown" name="arch4.info" dev="dm-1" ino=588981 scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u
bject_r:ftpd_t:s0 tclass=file
type=AVC msg=audit(1445323100.029:1163): avc: denied { relabelfrom } for pid=4685 comm="restorecon" name="arch4.info" dev="dm-1" ino=588981 scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_ubject_r:ftpd_t:s0 tclass=file
type=AVC msg=audit(1445323154.596:1165): avc: denied { read } for pid=4706 comm="vsftpd" name="new" dev="dm-1" ino=588967 scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=unconfined_ubject_r:httpd_sys_content_t:s0 tclass=dir
bject_r:ftpd_t:s0 tclass=filetype=AVC msg=audit(1445323100.029:1163): avc: denied { relabelfrom } for pid=4685 comm="restorecon" name="arch4.info" dev="dm-1" ino=588981 scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u
bject_r:ftpd_t:s0 tclass=filetype=AVC msg=audit(1445323154.596:1165): avc: denied { read } for pid=4706 comm="vsftpd" name="new" dev="dm-1" ino=588967 scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=unconfined_u
bject_r:httpd_sys_content_t:s0 tclass=dirPor lo que puedo interpretar, es debido al tipo de contexto, sin embargo, no puedo cambiarlo ya que el directorio también está atado a otro tipo. Quizás hacen overlapping. Nada dentro del directorio está en uso.
Verifiqué toda conexión establecida. Firewall tampoco, está bien configurado para estos servicios. Al colocar SELinux en modo Permissive, puedo tener acceso desde ambos servicios sin problema.
Existe manera de tener esos archivos con contextos de SELinux diferentes? (Sé que mantienen el mismo inodo así que lo veo complicado, pero no sería la primera vez que me sorprenda)
Qué puede ser (o es)?
No me manejo mucho en SELinux. He buscado en mail-list y foros, pero no he encontrado nada.
De antemano gracias
Es netamente para aprendizaje, también estoy incursionando en AppArmor y otros LSM.
