Вопросы Теги

Как создать модуль политики SELinux с существующим выводом audit2allow?

Я не понимаю, что вы имеете в виду под "сможет ли apache выполнить этот файл". Вы действительно хотите выполнять (т.е. запускать как программу) файлы, загруженные по ftp? Или вы имеете в виду, что просто хотите, чтобы apache обслуживал их как данные для клиентов? Какие каталоги могут видеть веб-клиенты, определяется файлом конфигурации apache; вы можете настроить его для обслуживания любых каталогов.

Как правило, новые файлы создаются с доступом на чтение для всех и на запись только для владельца: то есть -rwxr-xr-x или 755 восьмеричных ( -rw-r - r- - или 644 восьмеричного, если не исполняемый файл). Разрешения, предоставляемые новым файлам, регулируются umask процесса, создающего их. Это означает, что файлы, загруженные пользователем ftp, вероятно, могут быть использованы apache, если он настроен для этого.

Если вы действительно хотите, чтобы несколько пользователей совместно использовали домашний каталог, этот каталог должен быть доступен для записи для всех этих пользователей, поэтому либо у него должно быть глобальное разрешение на запись, либо разрешение на запись для группы, а также все пользователи, которым необходимо писать в него. принадлежащей группе, которой он принадлежит.

Но, вероятно, это не выход. Вы, вероятно, получите то, что хотите, используя отдельных пользователей.

2
27.03.2019, 19:49
1 ответ

Вы можете поместить вывод в файл .te. Кроме того, вам нужно еще несколько строк, операторы moduleиrequire. Вам необходимо определить имя и версию модуля с помощью оператора moduleи необходимые типы в операторе require. 

module my_module 1.0.0;

require {
    class sock_file { write };
    class unix_stream_socket { connectto };
    type httpd_t, default_t, unconfined_t;
}


allow httpd_t default_t:sock_file write;
allow httpd_t unconfined_t:unix_stream_socket connectto;

Затем вы можете скомпилировать и собрать модуль политики, используя checkmoduleи semodule_package, как описано в audit2allowсправочной странице примерах:

checkmodule -M -m -o my_module.mod my_module.te
semodule_package -o my_module.pp -m my_module.mod
3
27.01.2020, 22:02

Теги

Похожие вопросы