允許 SeLinux 給特定使用者發送電子郵件
我正在嘗試允許使用者 zabbix 使用ssmtps發送電子郵件。我已經配置了除 SeLinux 之外的所有內容。對於SeLinux 布爾值,沒有像 httpd_can_sendmail 這樣的可用於 zabbix 的項目。PS:禁用 SeLinux 時我無法發送電子郵件。但我不想這樣解決。
--------------------------------更新 [問題已 解決]
--------------------------------我按照以下步驟解決了它。我認為如果您啟用了審計日誌記錄,它可以通過這種方式解決許多與 SeLinux 相關的問題。
tail -f /var/log/audit/audit.log | grep zabbix | grep denied >> /tmp/zabbix_mail_12.嘗試通過zabbix使用者發送郵件。
等待第二步的狀態,然後它會在目前目錄下
cat /tmp/zabbix_mail_1 | audit2allow -M zabbix_mail_1生成兩個文件zabbix_mail_1.te和zabbix_mail_1.pp
semodule -i zabbix_mail_1.pp循環上面的步驟,直到/var/log/audit/audit.log 沒有錯誤。您可以增加 index /tmp/zabbix_mail_ 1以跟踪您做了什麼。
--------------------------------[問題已 解決]
--------------------------------我按照以下步驟解決了。這個部落格幫助了我。我認為如果您啟用了審計日誌記錄,它可以通過這種方式解決許多與 SeLinux 相關的問題。
tail -f /var/log/audit/audit.log | grep zabbix | grep denied >> /tmp/zabbix_mail_12.嘗試通過zabbix使用者發送郵件。
等待第二步的狀態,然後它會在目前目錄下
cat /tmp/zabbix_mail_1 | audit2allow -M zabbix_mail_1生成兩個文件zabbix_mail_1.te和zabbix_mail_1.pp
semodule -i zabbix_mail_1.pp循環上面的步驟,直到/var/log/audit/audit.log 沒有錯誤。您可以增加 index /tmp/zabbix_mail_ 1以跟踪您做了什麼。
用於查看 SELinux 日誌資訊以及允許被阻止的命令/程序的命令的工具。
yum install setroubleshoot-server然後查看日誌
sealert -a /var/log/audit/audit.log範例輸出:
***** Plugin public_content (32.5 confidence) suggests ******************** If you want to treat framework.css as public content Then you need to change the label on framework.css to public_content_t or public_content_rw_t. Do # semanage fcontext -a -t public_content_t '/var/www/html/framework.css' # restorecon -v '/var/www/html/framework.css' ***** Plugin catchall (4.5 confidence) suggests *************************** If you believe that smbd should be allowed getattr access on the framework.css file by default. Then you should report this as a bug. You can generate a local policy module to allow this access. Do allow this access for now by executing: # ausearch -c 'smbd' --raw | audit2allow -M my-smbd # semodule -i my-smbd.pp正如您在上面看到的,它抱怨 framework.css 並提供了一個允許的解決方案。
注意- 作業系統不包括在內,所以我假設為 RHEL。