2008年10月22日

[jsosug:00028] Re:EnforcingモードでMailman(保存書庫)を使えるようにするには?

近藤です。

お世話になってます。

> ひとまず、近藤さんの問題は audit2allow で解決したとの事ですが、もしかすると
>
> selinux-policy の方の問題の可能性もありますので、よろしければもう少し詳しく
>

> 状況を教えて頂けないでしょうか?

Enforcingモードでも保存書庫が使えるようになりました。

> 確認のために、以下のスクリプトを走らせてもらえないでしょうか?

実行結果以下のようになりました。

# rpm -ql mailman | while read fname
> do
> DCON=`env LANG=C matchpathcon $fname | awk '{print $2}'`
> FCON=`env LANG=C ls -dZ $fname | awk '{print $4}'`
> test "$DCON" = "$FCON" || echo "$fname $DCON => $FCON"
> done
/usr/lib/mailman/Mailman/mm_cfg.pyc system_u:object_r:lib_t =>
user_u:object_r:lib_t

mm_cfg.pycは、変更するためにオリジナルをとって(mvして)おいて
コピーを編集して使ってたかもしれません。

> また、採取した audit_mailman.log を見せて頂ければ、もう少し詳しい
> アドバイスができるかもしれません。

audit_mailman.logは、auditdのログをクリアしてからauditdを起動し、
Mailmanにメールを送信した後、auditdを停止したものだった、あまり
ログは有りません。
ので、以下につけておきます。(サーバ名は伏せさせてもらってます。)
このログをaudit2allowにかけてteファイルを作り、makeしてppファイルを
インストールしたところうまくいきました。

type=DAEMON_START msg=audit(1224484145.737:3276): auditd start, ver=1.6.5
format=raw kernel=2.6.18-92.1.13.el5 auid=500 pid=20480 res=success
type=CONFIG_CHANGE msg=audit(1224484145.835:40306): audit_enabled=1 old=1 by
auid=500 subj=user_u:system_r:auditd_t:s0 res=1
type=CONFIG_CHANGE msg=audit(1224484145.837:40307): audit_backlog_limit=320
old=320 by auid=500 subj=user_u:system_r:auditctl_t:s0 res=1
type=AVC msg=audit(1224484172.976:40308): avc: denied { search } for
pid=20860 comm="python" name="archives" dev=dm-0 ino=1967168
scontext=user_u:system_r:mailman_mail_t:s0
tcontext=system_u:object_r:mailman_archive_t:s0 tclass=dir
type=SYSCALL msg=audit(1224484172.976:40308): arch=40000003 syscall=10
success=no exit=-2 a0=9122d80 a1=0 a2=69a8e4 a3=8e021b0 items=0 ppid=20854
pid=20860 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41
fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python"
subj=user_u:system_r:mailman_mail_t:s0 key=(null)
type=AVC msg=audit(1224484173.917:40309): avc: denied { search } for
pid=20857 comm="python" name="test.mbox" dev=dm-0 ino=1967424
scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=dir
type=AVC msg=audit(1224484173.917:40309): avc: denied { read append } for
pid=20857 comm="python" name="test.mbox" dev=dm-0 ino=1967467
scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file
type=SYSCALL msg=audit(1224484173.917:40309): arch=40000003 syscall=5
success=yes exit=7 a0=9d0fab8 a1=8442 a2=1b6 a3=9c5a820 items=0 ppid=20854
pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41
fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python"
subj=user_u:system_r:mailman_mail_t:s0 key=(null)
type=AVC msg=audit(1224484173.922:40310): avc: denied { getattr } for
pid=20857 comm="python"
path="/var/lib/mailman/archives/private/test.mbox/test.mbox" dev=dm-0
ino=1967467 scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file
type=SYSCALL msg=audit(1224484173.922:40310): arch=40000003 syscall=197
success=yes exit=0 a0=7 a1=bfb83e1c a2=558ff4 a3=9dd30b0 items=0 ppid=20854
pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41
fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python"
subj=user_u:system_r:mailman_mail_t:s0 key=(null)
type=AVC msg=audit(1224484173.931:40311): avc: denied { getattr } for
pid=20857 comm="python" path="/var/lib/mailman/archives/private/test"
dev=dm-0 ino=1967440 scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=dir
type=SYSCALL msg=audit(1224484173.931:40311): arch=40000003 syscall=195
success=yes exit=0 a0=9b59230 a1=bfb839e8 a2=558ff4 a3=9abc1b0 items=0
ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41
sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python"
subj=user_u:system_r:mailman_mail_t:s0 key=(null)
type=AVC msg=audit(1224484173.937:40312): avc: denied { write } for
pid=20857 comm="python" name="2008-October" dev=dm-0 ino=1967468
scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=dir
type=AVC msg=audit(1224484173.937:40312): avc: denied { add_name } for
pid=20857 comm="python" name="000004.html"
scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=dir
type=AVC msg=audit(1224484173.937:40312): avc: denied { create } for
pid=20857 comm="python" name="000004.html"
scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file
type=SYSCALL msg=audit(1224484173.937:40312): arch=40000003 syscall=5
success=yes exit=7 a0=9e49290 a1=8241 a2=1b6 a3=9c5ee08 items=0 ppid=20854
pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41
fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python"
subj=user_u:system_r:mailman_mail_t:s0 key=(null)
type=AVC msg=audit(1224484173.939:40313): avc: denied { write } for
pid=20857 comm="python"
path="/var/lib/mailman/archives/private/test/2008-October/000004.html"
dev=dm-0 ino=1972252 scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file
type=SYSCALL msg=audit(1224484173.939:40313): arch=40000003 syscall=4
success=yes exit=2472 a0=7 a1=b7f8e000 a2=9a8 a3=9a8 items=0 ppid=20854
pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41
fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python"
subj=user_u:system_r:mailman_mail_t:s0 key=(null)
type=AVC msg=audit(1224484173.947:40314): avc: denied { setattr } for
pid=20857 comm="python"
name="2008-October-date.lock.SERVER_NAME_FQDN.20857.1" dev=dm-0 ino=1972254
scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file
type=SYSCALL msg=audit(1224484173.947:40314): arch=40000003 syscall=271
success=yes exit=0 a0=9e49290 a1=bfb82b44 a2=558ff4 a3=9d3faac items=0
ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41
sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python"
subj=user_u:system_r:mailman_mail_t:s0 key=(null)
type=AVC msg=audit(1224484173.947:40315): avc: denied { link } for
pid=20857 comm="python"
name="2008-October-date.lock.SERVER_NAME_FQDN.20857.1" dev=dm-0 ino=1972254
scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file
type=SYSCALL msg=audit(1224484173.947:40315): arch=40000003 syscall=9
success=yes exit=0 a0=9e49290 a1=9e52400 a2=69a8e4 a3=9abc1b0 items=0
ppid=20854 pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41
sgid=41 fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python"
subj=user_u:system_r:mailman_mail_t:s0 key=(null)
type=AVC msg=audit(1224484174.033:40316): avc: denied { remove_name } for
pid=20857 comm="python" name="2008-October-date.lock" dev=dm-0 ino=1972254
scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=dir
type=AVC msg=audit(1224484174.033:40316): avc: denied { unlink } for
pid=20857 comm="python" name="2008-October-date.lock" dev=dm-0 ino=1972254
scontext=user_u:system_r:mailman_mail_t:s0
tcontext=user_u:object_r:mailman_archive_t:s0 tclass=file
type=SYSCALL msg=audit(1224484174.033:40316): arch=40000003 syscall=10
success=yes exit=0 a0=9e4d4d0 a1=0 a2=69a8e4 a3=9abc1b0 items=0 ppid=20854
pid=20857 auid=500 uid=41 gid=41 euid=41 suid=41 fsuid=41 egid=41 sgid=41
fsgid=41 tty=(none) ses=1186 comm="python" exe="/usr/bin/python"
subj=user_u:system_r:mailman_mail_t:s0 key=(null)
type=DAEMON_END msg=audit(1224484196.704:3277): auditd normal halt, sending
auid=500 pid=20505 subj=user_u:system_r:initrc_t:s0 res=success

_______________________________________________
Japan secure operating system users group
users-ml@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/jsosug-users


投稿者 xml-rpc : 2008年10月22日 13:51
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/78188
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。