SELinux 已拒绝 sendmail 访问可能标记错误的文件

SELinux 已拒绝 sendmail 访问可能标记错误的文件

每个人都收到过这个 SELinux 错误吗?

SELinux 已拒绝 sendmail 访问可能标记错误的文件(2F746D702F746D70664A6163564B62202864656C6574656429)

这个文件名是什么意思?我最近经常在电子邮件中收到这些内容,我不知道这个文件是从哪里来的。

感谢您的帮助!
Metropolis

答案1

这意味着 SELinux 将不允许 sendmail 使用这些文件。用户通常会编辑主目录或 tmp 目录中的文件,然后将其移动 (mv) 到系统目录。问题是这些文件最终会带有错误的文件上下文,受限制的应用程序无法访问这些文件。

允许访问:

如果您希望 sendmail 访问此文件,则需要使用以下方法重新标记它们

restorecon -v '2F746D702F746D70664A6163564B62202864656C6574656429'.

您可能需要使用以下方法重新标记整个目录

restorecon -R -v ''

http://linux.derkeiler.com/Mailing-Lists/Fedora/2008-03/msg01150.html


同一邮件列表中的 Dan Walsh(SELinux 的“专家”之一)建议如下:

这些 avc 显示 sendmail 正在尝试读取由 /tmp 中的 apache 进程 (mod_php) 创建的文件。sendmail 还尝试读取 /usr/share/GeoIP/GeoIP.dat 中标记为 usr_t 的文件。最简单的做法是构建本地策略模块

grep httpd /var/log/audit/audit.log | audit2allow -M myhttp
semodule -i myhttp.pp

您需要 audit2allow 来实现此功能(可能已经安装)。

分享您获得的 avcs 可能会有所帮助。(应记录到 /var/log/message)

相关内容