2007年8月21日

[selinux-users:01982] strict policy で cron が動いた...

藤原@人柱 です。

私のサーバは、strict policy で動かしていますけど、
cron を動かすのにはいつも苦労します。
FC6 の時は、試行錯誤してできるまで、
1ヶ月ぐらいかかったと記憶しています。

F7 に換装してから、その大変さを味わうのが嫌で、

手を出さずに来たんですが、思い切って又挑戦しました。

インタフェースを使えばいいのは分かっていましたが、
strict policy のバージョンとのカラミもあり、
インタフェース名も変更になっていたりで、
2日間ほど悪戦苦闘した結果、今動きました。

/etc/cron.daily フォルダのスクリプトを実行してくれてるみたいです。
sleep 1431 ってなってます。
ああ、cronが動いた。。よかった。。
これでまともな運用が可能だ。

typeattribute crond_t can_set_loginuid, can_send_audit_msg;
logging_domtrans_audit_ctl(crond_t)
auth_exec_pam(crond_t)
logging_send_audit_msg(crond_t) #最新版なら、msgsとなる
authlogin_common_auth_domain_template(crond_t)
authlogin_common_auth_domain_template(system_crond_t)
auth_read_all_files_except_shadow(system_crond_t, unlabeled_t)
auth_exec_pam(system_crond_t)
auth_domtrans_pam(system_crond_t)
logging_send_audit_msg(system_crond_t)
auth_read_shadow(system_crond_t)

を加えました。
全部必要じゃないかもしれません。
systemレイヤーの authloginとloggingあたりを参考にしました。
Tresysのページで勉強しましょう。
allow文を生で使うよりインタフェースを使う方が、劇的に効果があります。

http://oss.tresys.com/docs/refpolicy/api/system_authlogin.html

投稿者 xml-rpc : 2007年8月21日 21:26
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/63206
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。