SElinux — snmpd

SELinux が強くて、snmpd でスクリプトが実行できない(汗
— domains/program/snmpd.te.orig
+++ domains/program/snmpd.te
@@ -73.3 +73.20 @@
dontaudit snmpd_t domain:dir { getattr search };

dontaudit snmpd_t selinux_config_t:dir search;
+
+#
+# Allow Extensible.
+#
+allow snmpd_t bin_t:dir search;
+allow snmpd_t bin_t:file execute;
+allow snmpd_t bin_t:file execute_no_trans;
+allow snmpd_t bin_t:file getattr;
+allow snmpd_t bin_t:file ioctl;
+allow snmpd_t bin_t:file read;
+allow snmpd_t sbin_t:dir search;
+allow snmpd_t shell_exec_t:file execute;
+allow snmpd_t shell_exec_t:file read;
+allow snmpd_t snmpd_t:fifo_file getattr;
+allow snmpd_t snmpd_t:fifo_file ioctl;
+allow snmpd_t snmpd_t:fifo_file read;
+allow snmpd_t snmpd_t:fifo_file write;

# pwd
/etc/selinux/targeted/src/policy
# make reload


qmailmrtg7 を使う場合は、/var/log への読み込み権限もいる。

allow snmpd_t var_log_t:file read;
allow snmpd_t var_log_t:file getattr;

/var/log/qmail を別の権限設定にしたほうがよさげ。

タイトルとURLをコピーしました