LINUX.ORG.RU
ФорумDesktop

SELinux не пускает

 


0

1

Привет!

Пытаюсь настроить подключение VPN. Аналогично по примеру того как работает на другой машине. Все настройки выставил аналогично, но не подключается. Лезу в журнал, вижу такое:

audit[4272]: AVC avc:  denied  { open } for  pid=4272 comm="openvpn" path="/home/andalevor/.cert/ta.key" dev="sda2" ino=263201 scontext=system_u:system_r:openvpn_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file permissive=0

Нагуглил что это, вроде бы, SELinux не даёт доступ. Но как пофиксить я не понял.

Посмотри, какой контекст у файлов, с которыми OVPN точно работает. Кажется, это можно сделать с помощью ls -z. Файл - наверное, что-то из дефолтных файлов конфига OVPN должно сработать.

Затем создайте правило, по которому файл по адресу /home/andalevor/.cert/ta.key должен получать такой контекст.

Затем пните SELinux, чтобы он перемаркировал данный файл по новому правилу.

mikhalich ★★
()
Ответ на: комментарий от mikhalich

Вот по этой ссылке доступно, с пояснением разницы между временным и постоянным изменением. Если используете SELinux, то «обойтись времянкой» выстрелит в колено попозже, зато от души.

https://access.redhat.com/documentation/ru-ru/red_hat_enterprise_linux/7/html...

mikhalich ★★
()

помести ключ не в /home/ а в $DIRECTORY….

К примеру DIRECTORY=«/var/lib/openvpn/keys»

Далее: chcon -R -t openvpn_t $DIRECTORY

Можно попробовать сменить контекст в homedir для ключа и деректории где он хранится - ~/.cert/

VKraft ★★
()
Последнее исправление: VKraft (всего исправлений: 1)

Либо положите ключи в другое место, либо исправьте контекст ключа, либо допилите policy для openvpn, поставляемую шапкой. А лучше всего – пусть openvpn управляет NetworkManager.

i586 ★★★★★
()
Desktop