允许 SeLinux 向特定用户可以发送电子邮件

允许 SeLinux 向特定用户可以发送电子邮件

我正在尝试允许用户 zabbix 使用以下方式发送电子邮件邮件传输协议。我已经配置了除 SeLinux 之外的所有配置。对于操作系统 布尔值zabbix 没有 httpd_can_sendmail 之类的东西。PS:禁用 SeLinux 后无法发送电子邮件。但我不想用这种方式解决。

--------------------------------
更新 [问题 解决了]
--------------------------------
我按照以下步骤解决了这个问题。我认为如果你启用了审计日志记录,这种方法可以解决许多与 SeLinux 相关的问题。1
. tail -f /var/log/audit/audit.log | grep zabbix | grep denied >> /tmp/zabbix_mail_1
2. 尝试通过 zabbix 用户发送电子邮件。3
. 等待第 2 步的状态,然后cat /tmp/zabbix_mail_1 | audit2allow -M zabbix_mail_1 它将生成两个文件邮件服务器zabbix_邮件_1.pp在当前目录中
4. semodule -i zabbix_mail_1.pp
5. 循环上述步骤,直到 /var/log/audit/audit.log 上没有错误。您可以增加索引 /tmp/zabbix_mail_1对于接下来的轨道你做了什么?

答案1

用于查看 SELinux 日志信息以及允许被阻止的命令/进程的命令的工具。

yum install setroubleshoot-server

然后查看日志

sealert -a /var/log/audit/audit.log

示例输出:

    *****  Plugin public_content (32.5 confidence) suggests   ********************

If you want to treat framework.css as public content
Then you need to change the label on framework.css to public_content_t or public_content_rw_t.
Do
# semanage fcontext -a -t public_content_t '/var/www/html/framework.css'
# restorecon -v '/var/www/html/framework.css'

*****  Plugin catchall (4.5 confidence) suggests   ***************************

If you believe that smbd should be allowed getattr access on the framework.css file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'smbd' --raw | audit2allow -M my-smbd
# semodule -i my-smbd.pp

正如您上面所看到的,它抱怨 framework.css 并提供了一个解决方案。

笔记- 没有包含操作系统所以我假设是 RHEL。

答案2

--------------------------------
[问题 解决了]
--------------------------------
我按照以下步骤解决了这个问题。这博客对我有帮助。我认为如果您启用了审计日志记录,这样可以解决许多与 SeLinux 相关的问题。1
. tail -f /var/log/audit/audit.log | grep zabbix | grep denied >> /tmp/zabbix_mail_1
2. 尝试通过 zabbix 用户发送电子邮件。3
. 等待第 2 步的状态,然后cat /tmp/zabbix_mail_1 | audit2allow -M zabbix_mail_1 它将生成两个文件邮件服务器zabbix_邮件_1.pp在当前目录中
4. semodule -i zabbix_mail_1.pp
5. 循环上述步骤,直到 /var/log/audit/audit.log 上没有错误。您可以增加索引 /tmp/zabbix_mail_1对于接下来的轨道你做了什么?

相关内容