SELinux 已拒绝 sendmail 访问可能标记错误的文件

Question

这意味着 SELinux 将不允许 sendmail 使用这些文件。用户通常会编辑主目录或 tmp 目录中的文件，然后将其移动 (mv) 到系统目录。问题是这些文件最终会带有错误的文件上下文，受限制的应用程序无法访问这些文件。

允许访问：

如果您希望 sendmail 访问此文件，则需要使用以下方法重新标记它们

restorecon -v '2F746D702F746D70664A6163564B62202864656C6574656429'.

您可能需要使用以下方法重新标记整个目录

restorecon -R -v ''

http://linux.derkeiler.com/Mailing-Lists/Fedora/2008-03/msg01150.html

同一邮件列表中的 Dan Walsh（SELinux 的“专家”之一）建议如下：

这些 avc 显示 sendmail 正在尝试读取由 /tmp 中的 apache 进程 (mod_php) 创建的文件。sendmail 还尝试读取 /usr/share/GeoIP/GeoIP.dat 中标记为 usr_t 的文件。最简单的做法是构建本地策略模块

grep httpd /var/log/audit/audit.log | audit2allow -M myhttp
semodule -i myhttp.pp

您需要 audit2allow 来实现此功能（可能已经安装）。

分享您获得的 avcs 可能会有所帮助。（应记录到 /var/log/message）

Answer 1

这意味着 SELinux 将不允许 sendmail 使用这些文件。用户通常会编辑主目录或 tmp 目录中的文件，然后将其移动 (mv) 到系统目录。问题是这些文件最终会带有错误的文件上下文，受限制的应用程序无法访问这些文件。

允许访问：

如果您希望 sendmail 访问此文件，则需要使用以下方法重新标记它们

restorecon -v '2F746D702F746D70664A6163564B62202864656C6574656429'.

您可能需要使用以下方法重新标记整个目录

restorecon -R -v ''

http://linux.derkeiler.com/Mailing-Lists/Fedora/2008-03/msg01150.html

同一邮件列表中的 Dan Walsh（SELinux 的“专家”之一）建议如下：

这些 avc 显示 sendmail 正在尝试读取由 /tmp 中的 apache 进程 (mod_php) 创建的文件。sendmail 还尝试读取 /usr/share/GeoIP/GeoIP.dat 中标记为 usr_t 的文件。最简单的做法是构建本地策略模块

grep httpd /var/log/audit/audit.log | audit2allow -M myhttp
semodule -i myhttp.pp

您需要 audit2allow 来实现此功能（可能已经安装）。

分享您获得的 avcs 可能会有所帮助。（应记录到 /var/log/message）

SELinux 已拒绝 sendmail 访问可能标记错误的文件

答案1

相关内容