Selinux — доступ процесса к папке

Честно говоря немного озадачен. При запросе «Selinux - насройка Asterisk» Вижу только - Отключите Selinux Неужели не кто не хочет разобраться как их подружить ?

В сообщении об ошибке написано, что нет такого типа - asterisk_exec_t.

Проверь, есть ли он у тебя (seinfo -t).

При запросе «Selinux - насройка Asterisk» Вижу только - Отключите Selinux

Тренируй навыки поиска. У меня запрос «asterisk selinux» выдаёт:

https://www.systutorials.com/docs/linux/man/8-asterisk_selinux/

Пробую назначить папке /usr/sbin/asterisk запускаться от процесса asterisk_exec_t

Это не очень понятная фраза. Сначала проверь какой у тебя там selinux-контекст уже настроен, хотя бы с ls -Z

Типа asterisk_exec_t нет, об этом говорит строчка trawcon="system_u:object_r:asterisk_exec_t:s0", хотя в стандартной рхеловской targeted policy этот тип есть. Эта же строчка говорит о том, что /usr/sbin/asterisk уже имеет (несуществующий) тип asterisk_exec_t, поэтому контекст прооверять и менять не надо.

Пусть покажет выхлоп sestatus. Что-то сломано по-крупному в системе, а не в астериске.

Спасибо. Пока что разбираюсь и не хотелось бы задавать лишние вопросы, пока сам не разберусь. Большое спасибо всем за помощь. Как только более глубже вникну, отпишусь.

Добрый день. Нашёл решение semanage permissive -a asterisk_t (чтобы сделать тип процесса asterisk_t разрешающим.) но хотелось бы разобраться более подробно. Был бы очень признателен, если бы на пальцах объяснили как работает Selinux. К примеру. Есть папка в которой есть файлы. Необходимо Разрешить доступ:

1. Пользователи
2. Программа
3. Запуск скрипта с этой папки.

Подскажите правильно ли я думаю Первое смотрит контекст безопасности для данной папки. ls - dZ /home/test/ Видим примерно. «system_u:object_r:test_t:s0» Теперь необходимо разрешить пользователю запускать скрипт с этой папки, работать программе и открывать для этого же пользователя файлы в этой папке. Первым делом смотрим логи - что блокируется. audit2why -i /var/log/audit/audit.log Допустим сейчас у меня есть такая ошибка.

type=AVC msg=audit(1643376081.685:906): avc:  denied  { write } for  pid=1512649 comm="lame" path="/home/test/tmp/001_*123.mp3" dev="dm-0" ino=17535886 scontext=system_u:system_r:asterisk_t:s0 tcontext=system_u:object_r:user_home_t:s0 tclass=file permissive=1

Я добавил asterisk_t в разрешения, но при открытии скриптов с этой папки, они не запускаются. Я уже запутался в документации, и необходимо немного структурировать информацию. Спасибо.

Вот что пишет sestatus

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

Замечатьельно. AVC из первого поста больше не появляется в аудите? Тогда пометьте тему как решенную.