kondo
nobua****@toshi*****
2008年 10月 22日 (水) 13:51:45 JST
近藤です。 お世話になってます。 > ひとまず、近藤さんの問題は audit2allow で解決したとの事ですが、もしかすると > > selinux-policy の方の問題の可能性もありますので、よろしければもう少し詳しく > > 状況を教えて頂けないでしょうか? Enforcingモードでも保存書庫が使えるようになりました。 > 確認のために、以下のスクリプトを走らせてもらえないでしょうか? 実行結果以下のようになりました。 # rpm -ql mailman | while read fname > do > DCON=`env LANG=C matchpathcon $fname | awk '{print $2}'` > FCON=`env LANG=C ls -dZ $fname | awk '{print $4}'` > test "$DCON" = "$FCON" || echo "$fname $DCON => $FCON" > done /usr/lib/mailman/Mailman/mm_cfg.pyc system_u:object_r:lib_t => user_u:object_r:lib_t mm_cfg.pycは、変更するためにオリジナルをとって(mvして)おいて コピーを編集して使ってたかもしれません。 > また、採取した audit_mailman.log を見せて頂ければ、もう少し詳しい > アドバイスができるかもしれません。 audit_mailman.logは、auditdのログをクリアしてからauditdを起動し、 Mailmanにメールを送信した後、auditdを停止したものだった、あまり ログは有りません。 ので、以下につけておきます。(サーバ名は伏せさせてもらってます。) このログをaudit2allowにかけてteファイルを作り、makeしてppファイルを インストールしたところうまくいきました。 type=DAEMON_START msg=audit(1224484145.737:3276): auditd start, ver=1.6.5 format=raw kernel=2.6.18-92.1.13.el5 auid=500 pid=20480 res=success type=CONFIG_CHANGE msg=audit(1224484145.835:40306): audit_enabled=1 old=1 by auid=500 subj=user_u:system_r:auditd_t:s0 res=1 type=CONFIG_CHANGE msg=audit(1224484145.837:40307): audit_backlog_limit=320 old=320 by auid=500 subj=user_u:system_r:auditctl_t:s0 res=1 type=AVC msg=audit(1224484172.976:40308): avc: denied { search } for pid=20860 comm="python" name="archives" dev=dm-0 ino=1967168 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=system_u:object_r:mailman_archive_t:s0 tclass=dir type=SYSCALL msg=audit(1224484172.976:40308): arch=40000003 syscall=10 success=no exit=-2 a0=9122d80 a1=0 a2=69a8e4 a3=8e021b0 items=0 ppid=20854 pid=20860 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python" subj=user_u:system_r:mailman_mail_t:s0 key=(null) type=AVC msg=audit(1224484173.917:40309): avc: denied { search } for pid=20857 comm="python" name="test.mbox" dev=dm-0 ino=1967424 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=dir type=AVC msg=audit(1224484173.917:40309): avc: denied { read append } for pid=20857 comm="python" name="test.mbox" dev=dm-0 ino=1967467 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file type=SYSCALL msg=audit(1224484173.917:40309): arch=40000003 syscall=5 success=yes exit=7 a0=9d0fab8 a1=8442 a2=1b6 a3=9c5a820 items=0 ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python" subj=user_u:system_r:mailman_mail_t:s0 key=(null) type=AVC msg=audit(1224484173.922:40310): avc: denied { getattr } for pid=20857 comm="python" path="/var/lib/mailman/archives/private/test.mbox/test.mbox" dev=dm-0 ino=1967467 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file type=SYSCALL msg=audit(1224484173.922:40310): arch=40000003 syscall=197 success=yes exit=0 a0=7 a1=bfb83e1c a2=558ff4 a3=9dd30b0 items=0 ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python" subj=user_u:system_r:mailman_mail_t:s0 key=(null) type=AVC msg=audit(1224484173.931:40311): avc: denied { getattr } for pid=20857 comm="python" path="/var/lib/mailman/archives/private/test" dev=dm-0 ino=1967440 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=dir type=SYSCALL msg=audit(1224484173.931:40311): arch=40000003 syscall=195 success=yes exit=0 a0=9b59230 a1=bfb839e8 a2=558ff4 a3=9abc1b0 items=0 ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python" subj=user_u:system_r:mailman_mail_t:s0 key=(null) type=AVC msg=audit(1224484173.937:40312): avc: denied { write } for pid=20857 comm="python" name="2008-October" dev=dm-0 ino=1967468 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=dir type=AVC msg=audit(1224484173.937:40312): avc: denied { add_name } for pid=20857 comm="python" name="000004.html" scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=dir type=AVC msg=audit(1224484173.937:40312): avc: denied { create } for pid=20857 comm="python" name="000004.html" scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file type=SYSCALL msg=audit(1224484173.937:40312): arch=40000003 syscall=5 success=yes exit=7 a0=9e49290 a1=8241 a2=1b6 a3=9c5ee08 items=0 ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python" subj=user_u:system_r:mailman_mail_t:s0 key=(null) type=AVC msg=audit(1224484173.939:40313): avc: denied { write } for pid=20857 comm="python" path="/var/lib/mailman/archives/private/test/2008-October/000004.html" dev=dm-0 ino=1972252 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file type=SYSCALL msg=audit(1224484173.939:40313): arch=40000003 syscall=4 success=yes exit=2472 a0=7 a1=b7f8e000 a2=9a8 a3=9a8 items=0 ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python" subj=user_u:system_r:mailman_mail_t:s0 key=(null) type=AVC msg=audit(1224484173.947:40314): avc: denied { setattr } for pid=20857 comm="python" name="2008-October-date.lock.SERVER_NAME_FQDN.20857.1" dev=dm-0 ino=1972254 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file type=SYSCALL msg=audit(1224484173.947:40314): arch=40000003 syscall=271 success=yes exit=0 a0=9e49290 a1=bfb82b44 a2=558ff4 a3=9d3faac items=0 ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python" subj=user_u:system_r:mailman_mail_t:s0 key=(null) type=AVC msg=audit(1224484173.947:40315): avc: denied { link } for pid=20857 comm="python" name="2008-October-date.lock.SERVER_NAME_FQDN.20857.1" dev=dm-0 ino=1972254 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file type=SYSCALL msg=audit(1224484173.947:40315): arch=40000003 syscall=9 success=yes exit=0 a0=9e49290 a1=9e52400 a2=69a8e4 a3=9abc1b0 items=0 ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python" subj=user_u:system_r:mailman_mail_t:s0 key=(null) type=AVC msg=audit(1224484174.033:40316): avc: denied { remove_name } for pid=20857 comm="python" name="2008-October-date.lock" dev=dm-0 ino=1972254 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=dir type=AVC msg=audit(1224484174.033:40316): avc: denied { unlink } for pid=20857 comm="python" name="2008-October-date.lock" dev=dm-0 ino=1972254 scontext=user_u:system_r:mailman_mail_t:s0 tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file type=SYSCALL msg=audit(1224484174.033:40316): arch=40000003 syscall=10 success=yes exit=0 a0=9e4d4d0 a1=0 a2=69a8e4 a3=9abc1b0 items=0 ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python" subj=user_u:system_r:mailman_mail_t:s0 key=(null) type=DAEMON_END msg=audit(1224484196.704:3277): auditd normal halt, sending auid=500 pid=20505 subj=user_u:system_r:initrc_t:s0 res=success