2006年4月27日

[selinux-users:01551] Re: Sambaでユーザーホーム以下にアクセスできない

太田@NECです。

On Thu, Apr 27, 2006 at 04:34:15PM +0900, Shintaro Fujiwara wrote:
>
> less /var/log/messages | grep denied | grep ribbon
> 又は
> less /var/log/audit/audit.log | grep denied | grep ribbon
>

> ですが、デフォルトならば、上記だと思いますが。

残念ながら、/home/ribbon アクセス時のエラーは出ていませんでした。
そのかわり、

Apr 27 14:44:49 fc5 kernel: audit(1146116689.488:375): avc: denied { getattr } for pid=2389 comm="smbd" name="XXXXXX.txt" dev=dm-0 ino=165544 scontext=root:system_r:smbd_t:s0 tcontext=root:object_r:tmp_t:s0 tclass=file

というログが多発していました。これは何か、と言うと、/var/log/samba/XXXXXX.log
と言うファイルを/tmp経由でWindows側に持っていこうと思って/tmpにコピーしたファイル
をアクセスしたときのログです。Windows側からはファイルが見えないのでなんだろうと
思っていたら、selinux でアクセス拒否されていたのですね。

On Thu, Apr 27, 2006 at 04:55:48PM +0900, KaiGai Kohei wrote:
> 海外です。
>
> 下記の現象ですが、
> % setsebool -P samba_enable_home_dirs 1
> コマンドの実行によって解決できないでしょうか?

しました。これでうまくいきました。取りあえず見えるようになりました。

> この条件変数(Boolean)が on の時、SELinuxは /home 以下へのSambaの
> アクセスを許可しますが、デフォルトでは off にされています。

なるほど。

> SELinuxのログは /var/log/messages 又は /var/log/audit/audit.log に
> 記録されています。

auditサブディレクトリは無かったです。対応するdaemonが動いていないから
でしょうね。

> samba関連の設定については、samba_selinux(8) にも簡単に記載がありま
> すが、デフォルトで Samba => /home が禁止というのは不親切ですね。

この辺、いろいろ調べないと、selinuxがonの時に結構混乱しますね。
身をもって体験しました。うーむ。

--
太田 俊哉@NEC OSS推進センター 基盤システム開発G(芝.港.東京.日本.地球)
(samba-jp Staff/postmaster,mutt-j/faqomatic admin,analog-jp postmaster)

投稿者 xml-rpc : 2006年4月27日 17:47
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/35567
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。