Product SiteDocumentation Site

7.3.4.2. Блокировки для Разрешающих доменов

Сообщение SYSCALL отличается для разрешающих доменов. Ниже показан пример блокировки AVC (и соответствующего системного вызова) от Apache HTTP Server:
type=AVC msg=audit(1226882736.442:86): avc:  denied  { getattr } for  pid=2427 comm="httpd" path="/var/www/html/file1" dev=dm-0 ino=284133 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:samba_share_t:s0 tclass=file
	
type=SYSCALL msg=audit(1226882736.442:86): arch=40000003 syscall=196 success=no exit=-13 a0=b9a1e198 a1=bfc2921c a2=54dff4 a3=2008171 items=0 ppid=2425 pid=2427 auid=502 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)
По умолчанию, домен httpd_t не разрешающий и, как следствие, действие блокируется и сообщение SYSCALL содержит success=no. Ниже показан пример блокировки AVC для такой же ситуации, за исключением выполненной команды semanage permissive -a httpd_t для запуска домена httpd_t в разрешающем режиме:
type=AVC msg=audit(1226882925.714:136): avc:  denied  { read } for  pid=2512 comm="httpd" name="file1" dev=dm-0 ino=284133 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:samba_share_t:s0 tclass=file
	
type=SYSCALL msg=audit(1226882925.714:136): arch=40000003 syscall=5 success=yes exit=11 a0=b962a1e8 a1=8000 a2=0 a3=8000 items=0 ppid=2511 pid=2512 auid=502 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null)
В этом случае, несмотря на то, что блокировка AVC записана, доступ не блокирован, как показано в сообщении SYSCALL success=yes.
Дополнительная информация в блоге Dan Walsh "Permissive Domains" о разрешающих доменах.