OS Centos7, Apache/2.4.41 (codeit), PHP 7.3.12(php-fpm)
Ich habe in meiner audit.log jede Menge Fehlermeldungen dieser Art:
May 5 10:03:45 tplkdesk setroubleshoot: failed to retrieve rpm info for /var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/bin/kitinerary-extractor
May 5 10:03:45 tplkdesk setroubleshoot: SELinux is preventing /var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/bin/kitinerary-extractor from ‘write, open’ accesses on the file memfd:JSVMStack:/var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/src/…/bin/kitinerary-extractor.
Der vorgeschlagene Weg dies durch eine lokale policy zu reparieren funktioniert leider nicht:
sealert -l 8cd8325f-9412-40a3-a075-8633e90f84b2
SELinux hindert /var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/bin/kitinerary-extractor daran, mit »write, open«-Zugriffen auf Datei memfd:JSVMStack:/var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/src/…/bin/kitinerary-extractor zuzugreifen.
***** Plugin catchall (100. Wahrscheinlichkeit) schlägt vor **************
Wenn Sie denken, dass es kitinerary-extractor standardmäßig erlaubt sein sollte, write open Zugriff auf kitinerary-extractor file zu erhalten.
Dann sie sollten dies als Fehler melden.
Um diesen Zugriff zu erlauben, können Sie ein lokales Richtlinien-Modul erstellen.
Ausführen
allow this access for now by executing:
ausearch -c ‘kitinerary-extr’ --raw | audit2allow -M my-kitineraryextr
semodule -i my-kitineraryextr.pp
zusätzliche Information:
Quellkontext system_u:system_r:httpd_sys_script_t:s0
Zielkontext system_u:object_r:tmpfs_t:s0
Zielobjekte memfd:JSVMStack:/var/www/html/nextcloud/apps/mail/
vendor/christophwurst/kitinerary-bin/src/…/bin
/kitinerary-extractor [ file ]
Quelle kitinerary-extr
Quellpfad /var/www/html/nextcloud/apps/mail/vendor/christoph
wurst/kitinerary-bin/bin/kitinerary-extractor
Port
Host tplkdesk.tplk.loc
RPM-Pakete der Quelle
RPM-Pakete des Ziels
Richtlinien-RPM selinux-policy-3.13.1-252.el7_7.6.noarch
SELinux aktiviert True
Richtlinientyp targeted
Enforcing-Modus Enforcing
Rechnername tplkdesk.tplk.loc
Plattform Linux tplkdesk.tplk.loc 3.10.0-1062.9.1.el7.x86_64
#1 SMP Fri Dec 6 15:49:49 UTC 2019 x86_64 x86_64
Anzahl der Alarme 7
Zuerst gesehen 2020-05-05 09:36:02 CEST
Zuletzt gesehen 2020-05-05 10:03:39 CEST
Lokale ID 8cd8325f-9412-40a3-a075-8633e90f84b2
Raw-Audit-Meldungen
type=AVC msg=audit(1588665819.855:21941): avc: denied { write open } for pid=22168 comm=“kitinerary-extr” name=“memfd:JSVMStack:/var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/src/…/bin/kitinerary-extractor” dev=“tmpfs” ino=12509468 scontext=system_u:system_r:httpd_sys_script_t:s0 tcontext=system_u:object_r:tmpfs_t:s0 tclass=file permissive=1
type=SYSCALL msg=audit(1588665819.855:21941): arch=x86_64 syscall=ftruncate success=yes exit=0 a0=5 a1=440000 a2=7f6be3f70ae0 a3=7ffda8b8f260 items=0 ppid=7651 pid=22168 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm=kitinerary-extr exe=/var/www/html/nextcloud/apps/mail/vendor/christophwurst/kitinerary-bin/bin/kitinerary-extractor subj=system_u:system_r:httpd_sys_script_t:s0 key=(null)
Hash: kitinerary-extr,httpd_sys_script_t,tmpfs_t,file,write,open
Hat jemand eine Idee wie ich den Zugriff auf memfd:JSVMStack über selinux hinkriege?