Настройте selinux для разрешения openldap на CentOS 6.4

Question

Настройте selinux для разрешения openldap на CentOS 6.4

Я пытаюсь запустить сервер OpenLDAP на CentOS 6.4 с включенным selinux, но slapd умирает, как только он начал через /etc/init.d/slapd start, (сценарий инициализации сообщает ОК; после setenforce 0,

нашел эти сообщения в /var/log/audit/audit.log:

type = AVC msg = аудит (1372888328.397:3262): avc: запрещен { write } для pid=1492 comm="slapd" name="slapd.log" dev=dm-0 ino=4348 scontext= не определен_u:system_r:slapd_t:s0 tcontext=undefined_u:object_r:var_log_t:s0 tclass= файл
type=SYSCALL msg= аудит (1372888328.397:3262): arch=40000003 syscall=5 success= нет выхода =-13 a0=1bd1018 a1=241 a2=1b6 a3=7ea191 элементов =0 ppid=1491 pid=1492 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=337 comm="slapd" exe="/usr/sbin/slapd" subj=undefined_u:system_r:slapd_t:s0 key=(null)
type=AVC msg= аудит (1372888328.408:3263): avc: отказано { sys_nice } для pid = 1492 comm = возможность "slapd" =23  scontext=undefined_u:system_r:slapd_t:s0 tcontext=undefined_u: system_r: slapd_t: s0 tclass = возможность
type=SYSCALL msg= аудит (1372888328.408:3263): arch=40000003 syscall=156 success=yes exit=0 a0=5d4 a1=0 a2=bfe64968 a3=b787a6c0 items=0 ppid=1491 pid=1492 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=337 comm="slapd" exe="/usr/sbin/slapd" subj= не определено_u: system_r: slapd_t: s0 key = (null)
type = AVC msg = аудит (1372888328.424:3264): avc: отказано {чтение} для pid=1493 comm="slapd" name="log.0000000001" dev=dm-0 ino=263969 scontext= не определено_u:system_r:slapd_t:s0 tcontext=undefined_u:object_r:var_log_t:s0 tclass= файл
type=SYSCALL msg= аудит (1372888328.424:3264): arch=40000003 syscall=5 success= нет выхода =-13 a0=1c78270 a1=8000 a2=0 a3=0 элементов =0 ppid=1 pid=1493 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(нет) ses=337 comm="slapd" exe="/usr/sbin/slapd" subj=undefined_u: system_r: slapd_t: s0 key = (null)

Однако это оставляет меня без понятия, как это исправить. Как мне сказать selinux разрешить запуск демона LDAP?

Я старался

restorecon -v -F -R /etc/openldap
restorecon -v -F -R /var/lib/ldap

но это не сработало (и на самом деле это, похоже, нарушило мою способность запускать slapd даже при отключенном selinux). Получил много сообщений, таких как

restorecon reset /etc/openldap/cacerts context undefined_u:object_r:etc_t:s0->system_u:object_r:etc_t:s0

2

centos openldap selinux slapd

Источник

Brad Mace 05 июл '13 в 16:08

1 ответ

Другие вопросы по тегам centos openldap selinux slapd

dawud 05 июл '13 в 17:05 2013-07-05 17:05 · Answer 1 · 2013-07-05 17:05

Если вы фильтруете журналы аудита через audit2allow(1) а также audit2why вы получите приблизительное представление о том, что происходит:

#============= slapd_t ==============
allow slapd_t self:capability sys_nice;
allow slapd_t var_log_t:file { write read };
------------------------------------

    Was caused by:
            Missing type enforcement (TE) allow rule.

            You can use audit2allow to generate a loadable module to allow this access.

type=AVC msg=audit(1372888328.408:3263): avc:  denied  { sys_nice } for  pid=1492 comm=slapd capability=23  scontext=unconfined_u:system_r:slapd_t:s0 tcontext=unconfined_u:system_r:slapd_t:s0 tclass=capability

    Was caused by:
            Missing type enforcement (TE) allow rule.

            You can use audit2allow to generate a loadable module to allow this access.

type=AVC msg=audit(1372888328.424:3264): avc:  denied  { read } for  pid=1493 comm=slapd name=log.0000000001 dev=dm-0 ino=263969 scontext=unconfined_u:system_r:slapd_t:s0 tcontext=unconfined_u:object_r:var_log_t:s0 tclass=file

    Was caused by:
            Missing type enforcement (TE) allow rule.

            You can use audit2allow to generate a loadable module to allow this access.

Проверка маркировки

Маловероятно, что восстановление метки препятствует запуску службы, если SELinux находится в разрешающем режиме. Кроме того, почему -F выключатель?

Чтобы узнать, нужно ли восстанавливать метки каталога или файла, сначала выясните, какой контекст должен иметь файл или каталог:

# matchpathcon /etc/openldap/
/etc/openldap   system_u:object_r:etc_t:s0

Затем перечислите его контекст безопасности:

# ls -ldZ /etc/openldap/
drwxr-xr-x. root root system_u:object_r:etc_t:s0       /etc/openldap//

В этом примере никаких дальнейших действий не требуется.

Что касается вашей проблемы, проблема не в маркировке как таковой, а в отсутствии type enforcement правило, т.е. правило, которое позволяет помеченному процессу переходить из одного ограниченного домена в другой или, например, читать файлы с определенной меткой.

Создание модуля SELinux

Вы можете попробовать построить модуль, который позволяет slapd_t выполнять операции, которые появились в audit.log, Вероятно, вам нужны дальнейшие корректировки в вашем коде. использование audit2allow, а также make для этой задачи. Все команды очень хорошо документированы в соответствующих руководствах. Процесс будет выглядеть примерно так (после копирования соответствующих сообщений в audit.txt):

audit2allow -i audit.txt -m slapd -o slapd.te
make -f /usr/share/selinux/devel/Makefile load

Также проверьте, существует ли отчет об ошибке для политики SELinux по этой проблеме.