SELinux는 clamscan이 nginx 서버에 업로드된 파일을 삭제하는 것을 거부합니다.

내 nginx 서버에서 업로드된 파일 컨텍스트는 다음과 같이 설정됩니다.

-rw-rw-r--. nginx nginx system_u:object_r:httpd_sys_rw_content_t:s0 eicar.sh.pdf

업로드되면 즉시 clamscan을 실행하여 다음 명령을 사용하여 파일을 확인합니다.PHP 실행()nginx 사용자로서.

/usr/bin/clamscan --quiet --remove /opt/myserver/files/eicar.sh.pdf

이로 인해 clamscan이 파일 삭제를 시도할 때 SeLinux 쓰기 액세스가 거부됩니다.(EICAR 테스트 파일입니다).

감사 로그에는 내가 동의하지 않는 정책을 만들 것을 제안합니다.

# ausearch -c 'clamscan' --raw | audit2allow -M my-clamscan
# semodule -i my-clamscan.pp

다음은 이미 설정되어 있습니다.

sudo setsebool -P antivirus_can_scan_system 1
sudo setsebool -P antivirus_use_jit 1

묻다:파일 컨텍스트를 통해 이 문제를 해결할 수 있는 방법이 있지만 httpd_sys_rw_content_t 파일의 현재 컨텍스트를 잃고 싶지는 않습니다.