SELinux, ProFTPd 및 자동 로깅

SELinux, ProFTPd 및 자동 로깅

내 컴퓨터인 Fedora 23에 FTP 서버가 필요합니다. 나는 간단한 설정을 원했고 ProFTPd와 인증을 사용하기로 결정했습니다 mod_auth_unix.c(이것은 단지 내 컴퓨터에 관한 것입니다).

ProFTPd를 설치하고 구성했습니다. 내 로컬 컴퓨터에서 로그인하는 데 몇 가지 문제가 있었고 결국 SeLinux에 문제가 있다는 것을 깨달았습니다(Permissive로 설정해 보았습니다).

필요한 권한을 추가하기 위해 SELinux 구성을 변경하는 방법을 알아내려고 노력 중이며 실패했습니다. 지금까지 내가 한 일은 다음과 같습니다.

  1. 감사를 통해 다음과 같은 결과를 얻었습니다.

    denied  { dac_read_search } for
      pid=16049
      comm="proftpd"
      capability=2
      scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023
      tcontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023
      tclass=capability
      permissive=0
    
  2. ~에 따르면이 기사ftp_home_dir활성화 된 부울 값이 필요합니다 allow_ftpd_full_access. 첫 번째 것을 먼저 설정하고 다른 경우를 얻습니다.

    • 여전히 로그할 수 없지만 감사 메시지는 없습니다.
    • /var/log/secure설명하다:

      proftpd[16070]: 127.0.0.1 (::1[::1]) - USER dave (Login failed): No such user found
      
  3. allow_ftpd_full_access분명히 내 것에는 하나도 들어 있지 않습니다 semanage boolean -l. 어쨌든 활성화할 수 있지만 다른 동작은 발생하지 않습니다.

  4. 항상 관련성이 있는 것은 아닌 다음 부울 중 어느 것도 작동하지 않는 것 같습니다(좋은 측정을 위해 모두 시도해 보았습니다).

    sftpd_full_access
    ftpd_anon_write
    ftpd_connect_db
    ftpd_full_access
    ftpd_use_cifs
    sftpd_enable_homedirs
    ftpd_connect_all_unreserved
    sftpd_write_ssh_home
    ftpd_use_passive_mode
    sftpd_anon_write
    ftpd_use_nfs
    ftpd_use_fusefs
    

허용으로 설정하면 작동하기 때문에 이것은 selinux 문제임에 틀림없습니다. 그러나 이상하게도 감사 로그에는 SELinux 활동이 보고되지 않습니다.

FTP 서버가 차단 /etc/passwd되었거나 /etc/shadow.

어떤 팁이나 아이디어가 있나요?

답변1

내 질문에 대답하려면 다음을 수행하십시오.

구성을 복원하여 /etc/proftpd.conf문제를 해결할 수 있었습니다.

AuthOrder mod_auth_pam.c* mod_auth_unix.c

SELinux는 다음 플래그를 설정하여 구성됩니다.

setsebool ftpd_full_access 1
setsebool ftp_home_dir 1

mod_auth_unix.c분명히 문제는 mod_auth_pam.c제대로 작동하는 동안 SELinux를 비활성화하는 것과 관련이 있습니다. PEBCAK을 예로 들어 보겠습니다.

지금 알 수 없는 유일한 것은 왜 아무 것도 보고되지 않는다는 것입니다 /var/log/audit/audit.log. 허용 모드로 로그인할 수 있었기 때문에 SELinux가 로그인을 차단하고 있는 것이 확실합니다.

답변2

FTP 서버가 차단 /etc/passwd되었거나 /etc/shadow.

이것은 사실이 아닙니다. AVC 메시지에서 볼 수 있습니다.

tcontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023

이는 또는 ftpd_t이 아닌 의 일부입니다 (이 파일은 여기에서 볼 수 있듯이 서로 다른 컨텍스트를 가집니다 ).shadowpasswdls -Z /etc/passwd

완전한 해결책은 아니지만 앞으로 나아가고 있습니다. 기사대로 다 해보셨나요? 그리고 그룹 설정은요?

관련 정보