J'ai actuellement activé SELinux et j'ai pu configurer apache pour qu'il autorise l'accès à /home/src/web avec un fichier chcon accorde le type "httpd_sys_content_t". Mais maintenant, j'essaie de servir le fichier rsyslogd.conf à partir du même répertoire, mais chaque fois que je lance rsyslogd, je vois une entrée dans mon journal d'audit indiquant que l'accès à rsyslogd a été refusé. Ma question est la suivante : est-il possible d'accorder à deux applications la possibilité d'accéder au même répertoire, tout en maintenant SELinux activé ?
Les perms actuelles sur /home/src :
drwxr-xr-x. src src unconfined_u:object_r:httpd_sys_content_t:s0 srcMessage du journal d'audit :
type=AVC msg=audit(1349113476.272:1154): avc: denied { search } for pid=9975 comm="rsyslogd" name="/" dev=dm-2 ino=2 scontext=unconfined_u:system_r:syslogd_t:s0 tcontext=system_u:object_r:home_root_t:s0 tclass=dir
type=SYSCALL msg=audit(1349113476.272:1154): arch=c000003e syscall=2 success=no exit=-13 a0=7f9ef0c027f5 a1=0 a2=1b6 a3=0 items=0 ppid=9974 pid=9975 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=30 comm="rsyslogd" exe="/sbin/rsyslogd" subj=unconfined_u:system_r:syslogd_t:s0 key=(null)-- Editer --
Je suis tombé sur ceci poste ce qui est en quelque sorte ce que j'essaie d'accomplir. Cependant, lorsque j'ai consulté la liste des paramètres autorisés sebool Le seul élément relatif à syslog était : syslogd_disable_trans (SELinux Service Protection), il semble que je puisse maintenir le 'type' SELinux actuel sur le serveur. /home/src/ dir, mais mettez le bool sur syslogd_disable_trans à false. Je me demande s'il existe une meilleure approche ?
