Selinux

允許 SeLinux 給特定使用者發送電子郵件

  • May 2, 2018

我正在嘗試允許使用者 zabbix 使用ssmtps發送電子郵件。我已經配置了除 SeLinux 之外的所有內容。對於SeLinux 布爾值,沒有像 httpd_can_sendmail 這樣的可用於 zabbix 的項目。PS:禁用 SeLinux 時我無法發送電子郵件。但我不想這樣解決。

--------------------------------

更新 [問題已 解決]

--------------------------------

我按照以下步驟解決了它。我認為如果您啟用了審計日誌記錄,它可以通過這種方式解決許多與 SeLinux 相關的問題。

  1. tail -f /var/log/audit/audit.log | grep zabbix | grep denied >> /tmp/zabbix_mail_1

2.嘗試通過zabbix使用者發送郵件。

  1. 等待第二步的狀態,然後它會在目前目錄下cat /tmp/zabbix_mail_1 | audit2allow -M zabbix_mail_1 生成兩個文件zabbix_mail_1.tezabbix_mail_1.pp

  2. semodule -i zabbix_mail_1.pp

  3. 循環上面的步驟,直到/var/log/audit/audit.log 沒有錯誤。您可以增加 index /tmp/zabbix_mail_ 1以跟踪您做了什麼。

--------------------------------

[問題已 解決]

--------------------------------

我按照以下步驟解決了。這個部落格幫助了我。我認為如果您啟用了審計日誌記錄,它可以通過這種方式解決許多與 SeLinux 相關的問題。

  1. tail -f /var/log/audit/audit.log | grep zabbix | grep denied >> /tmp/zabbix_mail_1

2.嘗試通過zabbix使用者發送郵件。

  1. 等待第二步的狀態,然後它會在目前目錄下cat /tmp/zabbix_mail_1 | audit2allow -M zabbix_mail_1 生成兩個文件zabbix_mail_1.tezabbix_mail_1.pp

  2. semodule -i zabbix_mail_1.pp

  3. 循環上面的步驟,直到/var/log/audit/audit.log 沒有錯誤。您可以增加 index /tmp/zabbix_mail_ 1以跟踪您做了什麼。

用於查看 SELinux 日誌資訊以及允許被阻止的命令/程序的命令的工具。

yum install setroubleshoot-server

然後查看日誌

sealert -a /var/log/audit/audit.log

範例輸出:

   *****  Plugin public_content (32.5 confidence) suggests   ********************

If you want to treat framework.css as public content
Then you need to change the label on framework.css to public_content_t or public_content_rw_t.
Do
# semanage fcontext -a -t public_content_t '/var/www/html/framework.css'
# restorecon -v '/var/www/html/framework.css'

*****  Plugin catchall (4.5 confidence) suggests   ***************************

If you believe that smbd should be allowed getattr access on the framework.css file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'smbd' --raw | audit2allow -M my-smbd
# semodule -i my-smbd.pp

正如您在上面看到的,它抱怨 framework.css 並提供了一個允許的解決方案。

注意- 作業系統不包括在內,所以我假設為 RHEL。

引用自:https://serverfault.com/questions/910289