KaiGai Kohei
kaiga****@kaiga*****
2008年 10月 22日 (水) 23:43:26 JST
海外です。 状況のレポートありがとうございました。 ただ、残念ながら私の推測は外れ?ていたようです。 auditにはドメイン遷移の失敗を示すログが残されていませんでしたので、 どうやらこれは、オリジナルの selinux-policy の問題であると判断し、 Fedora/RHELのセキュリティポリシーを管理している Dan Walsh 氏にレポートを 上げておきました。 https://bugzilla.redhat.com/show_bug.cgi?id=468038 たぶん、すんなり直してくれるとは思いますが…。 それと、近藤さんが audit2allow を使って生成したポリシーを、 Reference policy 風に書き直してみました。 ------------ policy_module(mailman-fixup, 1.1) gen_require(` type mailman_mail_t; type mailman_archive_t; ') allow mailman_mail_t mailman_archive_t:dir manage_dir_perms; allow mailman_mail_t mailman_archive_t:file manage_file_perms; allow mailman_mail_t mailman_archive_t:lnk_file manage_lnk_file_perms; ------------ これを例えば、mailman-fixup.te というファイルに保存し、 # vi mailman-fixup.te # make -f /usr/share/selinux/devel/Makefile # semodule -i mailman-fixup.pp これで、アップデートが提供されるまでの間は大丈夫かと思います。 (selinux-policy-devel, checkpolicy パッケージが必要です) では。 kondo wrote: > 近藤です。 > > お世話になってます。 > >> ひとまず、近藤さんの問題は audit2allow で解決したとの事ですが、もしかすると >> >> selinux-policy の方の問題の可能性もありますので、よろしければもう少し詳しく >> >> 状況を教えて頂けないでしょうか? > > Enforcingモードでも保存書庫が使えるようになりました。 > >> 確認のために、以下のスクリプトを走らせてもらえないでしょうか? > > 実行結果以下のようになりました。 > > # rpm -ql mailman | while read fname >> do >> DCON=`env LANG=C matchpathcon $fname | awk '{print $2}'` >> FCON=`env LANG=C ls -dZ $fname | awk '{print $4}'` >> test "$DCON" = "$FCON" || echo "$fname $DCON => $FCON" >> done > /usr/lib/mailman/Mailman/mm_cfg.pyc system_u:object_r:lib_t => > user_u:object_r:lib_t > > mm_cfg.pycは、変更するためにオリジナルをとって(mvして)おいて > コピーを編集して使ってたかもしれません。 > >> また、採取した audit_mailman.log を見せて頂ければ、もう少し詳しい >> アドバイスができるかもしれません。 > > audit_mailman.logは、auditdのログをクリアしてからauditdを起動し、 > Mailmanにメールを送信した後、auditdを停止したものだった、あまり > ログは有りません。 > ので、以下につけておきます。(サーバ名は伏せさせてもらってます。) > このログをaudit2allowにかけてteファイルを作り、makeしてppファイルを > インストールしたところうまくいきました。 -- KaiGai Kohei <kaiga****@kaiga*****>
