SELinux、ProFTPd、自動ロギング

SELinux、ProFTPd、自動ロギング

私のコンピュータであるFedora 23にはFTPサーバーが必要です。私は簡単な設定が欲しかったし、ProFTPdと認証を使用することにしましたmod_auth_unix.c(これは私のコンピュータに関するものです)。

ProFTPdをインストールして設定しました。私のローカルコンピュータからログインするのにいくつかの問題があり、最終的にSeLinuxに問題があることに気づきました(Permissiveに設定してみました)。

必要な権限を追加するために SELinux 構成を変更する方法を理解しようとしており、失敗しました。これまで私がしたことは次のとおりです。

  1. 監査を通じて以下の結果を得ました。

    denied  { dac_read_search } for
      pid=16049
      comm="proftpd"
      capability=2
      scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023
      tcontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023
      tclass=capability
      permissive=0
    
  2. ~によるとこの記事ftp_home_dir有効なブール値が必要ですallow_ftpd_full_access。最初のものを最初に設定し、別のケースを取得します。

    • それでもログはできませんが、監査メッセージはありません。
    • /var/log/secure説明する:

      proftpd[16070]: 127.0.0.1 (::1[::1]) - USER dave (Login failed): No such user found
      
  3. allow_ftpd_full_access明らかに私のものには何も含まれていませんsemanage boolean -l。とにかく有効にできますが、他の動作は発生しません。

  4. 常に関連性があるわけではなく、次のブールのどれも機能していないようです(良い測定のためにすべて試してみました)。

    sftpd_full_access
    ftpd_anon_write
    ftpd_connect_db
    ftpd_full_access
    ftpd_use_cifs
    sftpd_enable_homedirs
    ftpd_connect_all_unreserved
    sftpd_write_ssh_home
    ftpd_use_passive_mode
    sftpd_anon_write
    ftpd_use_nfs
    ftpd_use_fusefs
    

許可に設定すると機能するため、これはselinuxの問題であるに違いありません。ただし、奇妙なことに、監査ログにはSELinuxアクティビティは報告されません。

FTPサーバーがブロックされ/etc/passwdているか/etc/shadow

どのようなヒントやアイデアがありますか?

答え1

私の質問に答えるには:

構成を復元して/etc/proftpd.conf問題を解決できました。

AuthOrder mod_auth_pam.c* mod_auth_unix.c

SELinux は、次のフラグを設定することで構成されます。

setsebool ftpd_full_access 1
setsebool ftp_home_dir 1

mod_auth_unix.c明らかに、問題はmod_auth_pam.c正常に動作している間にSELinuxを無効にすることに関連しています。 PEBCAKを例に挙げてみましょう。

今知られていない唯一のことは、なぜ何も報告されないということです/var/log/audit/audit.log。許可モードでログインできたため、SELinuxがログインをブロックしていることが確実です。

答え2

FTPサーバーがブロックされ/etc/passwdているか/etc/shadow

これは本当ではありません。 AVCメッセージで見ることができます。

tcontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023

これはftpd_tまたはではないの一部です(このファイルはここに示すように異なるコンテキストを持ちます)。shadowpasswdls -Z /etc/passwd

完全な解決策ではありませんが、前進しています。記事通りにやってみましたか?そしてグループ設定は?

関連情報