SELinuxはclamscanがnginxサーバーにアップロードされたファイルを削除することを拒否します。

SELinuxはclamscanがnginxサーバーにアップロードされたファイルを削除することを拒否します。

私のnginxサーバーからアップロードされたファイルコンテキストは、次のように設定されます。

-rw-rw-r--. nginx nginx system_u:object_r:httpd_sys_rw_content_t:s0 eicar.sh.pdf

アップロードしたらすぐにclamscanを実行し、次のコマンドを使用してファイルを確認します。PHPの実行()nginxユーザーとして。

/usr/bin/clamscan --quiet --remove /opt/myserver/files/eicar.sh.pdf

これにより、clamscanがファイルを削除しようとしたときにSeLinux書き込みアクセスが拒否されます。(EICARテストファイルです)

監査ログは、私が同意しないポリシーを作成することを示唆しています。

# ausearch -c 'clamscan' --raw | audit2allow -M my-clamscan
# semodule -i my-clamscan.pp

以下はすでに設定されています。

sudo setsebool -P antivirus_can_scan_system 1
sudo setsebool -P antivirus_use_jit 1

尋ねる:ファイルコンテキストでこの問題を解決する方法はありますが、httpd_sys_rw_content_tファイルの現在のコンテキストを失いたくはありません。

答え1

環境ウイルス対策ソフトウェア_t〜のように龍仁すでに作業中です。これにより、SeLinuxはすべてのウイルス対策ソフトウェアにポリシーを適用できません。

sudo semanage permissive -a antivirus_t

関連情報