私のnginxサーバーからアップロードされたファイルコンテキストは、次のように設定されます。
-rw-rw-r--. nginx nginx system_u:object_r:httpd_sys_rw_content_t:s0 eicar.sh.pdf
アップロードしたらすぐにclamscanを実行し、次のコマンドを使用してファイルを確認します。PHPの実行()nginxユーザーとして。
/usr/bin/clamscan --quiet --remove /opt/myserver/files/eicar.sh.pdf
これにより、clamscanがファイルを削除しようとしたときにSeLinux書き込みアクセスが拒否されます。(EICARテストファイルです)。
監査ログは、私が同意しないポリシーを作成することを示唆しています。
# ausearch -c 'clamscan' --raw | audit2allow -M my-clamscan
# semodule -i my-clamscan.pp
以下はすでに設定されています。
sudo setsebool -P antivirus_can_scan_system 1
sudo setsebool -P antivirus_use_jit 1
尋ねる:ファイルコンテキストでこの問題を解決する方法はありますが、httpd_sys_rw_content_tファイルの現在のコンテキストを失いたくはありません。
答え1
環境ウイルス対策ソフトウェア_t〜のように龍仁すでに作業中です。これにより、SeLinuxはすべてのウイルス対策ソフトウェアにポリシーを適用できません。
sudo semanage permissive -a antivirus_t