Intereting Posts
Как установить поддержку языка в TexLive на Debian Wheezy? Какой сигнал отправляет X своим клиентам, когда он получает SIGINT? Значение дополнительных параметров apt-get в ранней истории APT Как зашифровать живой корень fs удаленно и разблокировать его через ssh Содержимое выходного файла с grep вместе с именем каталога Легко обновляемый поиск неисправностей LiveUSB-дистрибутив Как переместить кнопки окна на панель 3.16 gnome shell Как удалить все английские строки из текстового файла? Можно ли использовать маршрутизатор с dd-wrt / openWrt / etc в качестве радар-детектора? Вызов скриптов из других скриптов Существуют ли файловые системы, для которых `ln -d` преуспевает? Запустить X11vnc при загрузке в окне входа SLIM Протокол Parsing и URL из полезной нагрузки пакета Как объединить два файла в один с столбцами для данных каждого файла? Как файл идентифицировал этот файл?

Selinux блокирует clamd для открытия новых портов для каждого потока

SElinux Enforced on CentOS7 снова блокирует clamAV при сканировании файловых операций.

Несколько месяцев назад я столкнулся с той же проблемой, которую я опубликовал здесь , и в конце концов я решил сделать следующие конфигурации:

# grep 'StreamMin\|StreamMax' /etc/clamd.d/scan.conf StreamMaxLength 2000M StreamMinPort 30000 StreamMaxPort 32000 

 # getsebool -a | grep antivirus antivirus_can_scan_system --> on antivirus_use_jit --> on 

 # semanage port -l | grep clamd clamd_port_t tcp 30000-32000, 3310 

Вчера система получила свои обновления yum, и между ними я вижу, что также были обновлены пакеты selinux-policy* :

 Updated selinux-policy-3.13.1-102.el7_3.16.noarch @updates Update 3.13.1-166.el7_4.4.noarch @updates Updated selinux-policy-targeted-3.13.1-102.el7_3.16.noarch @updates Update 3.13.1-166.el7_4.4.noarch @updates 

После обновления такая же проблема возвращается, как показано в /var/log/messages :

 Sep 15 10:55:45 production clamd: LibClamAV Warning: RWX mapping denied: Can't allocate RWX Memory: Permission denied Sep 15 10:55:45 production clamd: LibClamAV Warning: Bytecode: disabling JIT because SELinux is preventing 'execmem' access. Sep 15 10:55:45 production clamd: Run 'setsebool -P clamd_use_jit on'. 

Журнал кажется довольно понятным и предлагает решение тоже, но в любом случае этот логический параметр уже был установлен ранее, поэтому его не так полезно, как кажется.

Ниже приведена соответствующая запись audit.log :

 type=AVC msg=audit(1505723879.248:302432): avc: denied { name_connect } for pid=21691 comm="java" dest=3310 scontext=system_u:system_r:tomcat_t:s0 tcontext=system_u:object_r:clamd_port_t:s0 tclass=tcp_socket 

Опять-таки, следующие ошибки связаны с моей проблемой:

  • https://bugzilla.redhat.com/show_bug.cgi?id=1248785
  • https://bugzilla.redhat.com/show_bug.cgi?id=573191

Но, читая их, я не совсем понимаю, как я могу это исправить.

Я хотел бы использовать обновления пакетов, предоставляемые официальными репозиториями CentOS, поэтому я бы не стал откатывать только что примененные обновления (вставленные выше). Кроме того, я хотел бы сохранить SElinux в принудительном режиме.

Любые eyedea, как приступить к отладке и исправлению проблемы?