2007年11月21日

[selinux-users:02058] setrlimitを許可するようなタイプはありませんでしょうか。

近藤です。

お世話になります。
以前、SELinuxのポリシーソースを変更して対応してましたが、
SELinux自体がバージョンアップした時、バージョンアップ作業さ
結構大変という印象を受けました。

その後、同じことをやるサーバを増やした際、関係ファイルをchcon

でタイプを変更してやることでうまく動くことを確認しました。
(WebサービスでPHPのプログラムがうまく動くようになりました)

このたび、また別のシステムの(RedHat9からの)リプレースで
以前とは違うサービス(プログラム)を動かしているのですが、
内部でgpgを呼び出して活用するところが、Permissiveモードだ
とうまく行きますが、Enforcingだと拒否されます。

PHPプログラムからは、以下の様なコマンドを実行します。
echo "暗号化する文字列" |/usr/bin/gpg -a --batch --homedir
/var/www/.gnupg -e --recipient メールアドレス

ポリシーを変更せずにタイプの変更で対応できないかとおもって、
/usr/bin/gpgのタイプをunconfined_tやinitrc_tとかに変更しようとしましたが
「許可がありません」となりました。

audit2allowでは、
allow httpd_sys_script_t self:process setrlimit;
というのが出てきましたので、Apacheのプロセスにsetrlimitの許可を
与えればいいと思うのですが、setrlimitを許可できるようなタイプが
あったら教えてもらえないでしょうか。

Permissiveか、ポリシーソースを入れて、ポリシー追加するしかなさそうでしょうか。

よろしくお願いします。


投稿者 xml-rpc : 2007年11月21日 15:18
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/66711
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。