Por cierto las dificultades no terminan aqui. SELinux tampoco permite que exim
escriba sobre el socket de clamd.
Esta regla me resuelve el problema
module exim_clamav 1.0;
require {
type var_run_t;
type exim_t;
class sock_file { read write };
}
#============= exim_t ==============
allow exim_t var_run_t:sock_file { read write };
Sent from Windows Mail
From: William Alexander Brito Vinas
Sent: Tuesday, September 23, 2014 5:26 PM
To: centos-es@centos.org
El 23/09/14 19:20, William Alexander Brito Vinas escribió:
> He instalado clamav y clamd en un host corriendo bajo centos 7 y por lo que
> veo clamd no puede fucionar porque no puede crear los archivos en
> /var/run/{clamd.pid,clamd.sock}… o sea una cuestion de permisos.
>
>
> Los permisos para el usuario clamav le permiten escribir en /var/run y eso
> resuelve creo la situacion de la creacion del pid file pero SELinux no le
> permite crear el socket.
>
> Como no puedo arrancar clamav no puedo ver en que contexto de seguridad esta
> corriendo asi y por lo tanto no puedo modificar SELinux para pque le permita
> crear sock_file…
>
>
>
> Existe alguna informacion que me puedan brindar antes de pasar a modo
> permisivo temporalmente?
>
>
> Gracias
que paquetes has sinstalado y como inicializas el clamav en CentOS 7??
_________
yum install clamd clamav
** por supuesto con todas las dependencias….
chkconfig clamd on
service clamd start
freshclam -v
Ahora despues de haber perdido tiempo revisando audit.log, creando un modulo de
politicas mas relajadas para el context antivirus_t y demas termine por poner
seLinux en modo permisivo y el problema persistia. Sencillamente clamd corre
con los privilegios del usuario clamav y este no tiene permiso de escritura
sobre /var/run y no lo hace aunque le diga a selinux que antivirus_t puede casi
que hacer lo que le de la gana con var_run_t.
Regrese selinux a su modo enforced y a continuacion hice la siguiente
chapuceria:
modifique el archive /etc/init.d/clamd y ahi vi que al detener el demonio el
script asumia que el archive con el PID y el socket estaban en el directorio
principal de clamav (/var/clamav).
Modifique la configuracion en /etc/clamd.conf para que los archivos apuntaran
hacia /var/clamd y fuciono sin problemas.
Despues regrese este cambio hacia atras, arregle las entradas en
/etc/init.d/clamd para que apuntaran nuevamente a /var/run/{clam.pid,
clamd.sock} y le meti la siguiente linea al comienzo del script
mkdir /var/run/clamav && chown clamav:clamav /var/run/clamav
Hasta aqui todo funciona bien entre reinicios del sistema pero parece un poco
mediocre…y es que las ideas se me acabaron….
Espero una propuesta mas limpia
> _______________________________________________
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
_______________________________________________
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es
_______________________________________________
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es
_______________________________________________
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es
