無料ブログはココログ

« FTPでファイルをアップロードできない・・・・ | トップページ | dovecotのファイル命名規則 »

2010年9月13日 (月)

FTPでアップロードさせるためのSElinuxの設定

先日の続き。
SElinuxのポリシーを追加させて、vsftpdでファイルの操作ができるように設定します。

本来は、permissiveモードでログを吐き出させてから処理するわけですが、前回すでに
permissiveでの動作確認はしているので、省略。

問題は、/var/log/messagesログに吐き出されなかったこと。では一体どこにログはあるのか。

正解は/var/log/audit/audit.logでした。前回コマンドでみたログがばっちり吐き出されてます。

type=AVC msg=audit(1284210656.848:43949): avc:  denied  { remove_name } for  pid=24544 comm="vsftpd" name="init.cgi" dev=hda1 ino=
1279561 scontext=user_u:system_r:ftpd_t:s0 tcontext=user_u:object_r:httpd_sys_content_t:s0 tclass=dir
type=AVC msg=audit(1284210656.848:43949): avc:  denied  { rename } for  pid=24544 comm="vsftpd" name="init.cgi" dev=hda1 ino=12795
61 scontext=user_u:system_r:ftpd_t:s0 tcontext=user_u:object_r:httpd_sys_content_t:s0 tclass=file
type=AVC msg=audit(1284210656.848:43949): avc:  denied  { unlink } for  pid=24544 comm="vsftpd" name="init.cgi.old" dev=hda1 ino=1
279564 scontext=user_u:system_r:ftpd_t:s0 tcontext=system_u:object_r:httpd_sys_content_t:s0 tclass=file

ログがわかったので、「audit2allow」コマンドで結果を吐き出させます。

audit2allow -i /var/log/audit/audit.log -m vsftpd
[-i]オプションはインプット用ログの指定、[-m]は対応したモジュール名の指定。
一応、上記のコマンドで結果だけ表示させます。

module vsftpd 1.0;

require {
        type ftpd_t;
        type httpd_sys_content_t;
        class dir { write remove_name add_name };
        class file { write rename create unlink append };
}

#============= ftpd_t ==============
allow ftpd_t httpd_sys_content_t:dir { write remove_name add_name };
allow ftpd_t httpd_sys_content_t:file { write rename create unlink append };

どうやら大丈夫そうなので、モジュールを作成します。

audit2allow -i /var/log/audit/audit.log -M vsftp

これで、カレントディレクトリに「vsftpd.te」「vsftpd.pp」が作成までされます。
後は、再読み込み。

semodule -i vsftpd.pp

しばらくして、プロンプトが表示されれば終了です。
結果、FFFTPからファイルの削除・書き込みなどができるようになりました。

参考:
AUDIT2ALLOW -- コマンドの説明
CentOS 5.2 でSELinuxを設定する方法

« FTPでファイルをアップロードできない・・・・ | トップページ | dovecotのファイル命名規則 »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/535097/49431532

この記事へのトラックバック一覧です: FTPでアップロードさせるためのSElinuxの設定:

« FTPでファイルをアップロードできない・・・・ | トップページ | dovecotのファイル命名規則 »