[geschlossen] CUPS unter SELinux zulassen

[mmw]

Das ganze Problem besteht unter der 64-Bit-version von Fedora 10. Aber SELinux ist ja mittlerweile auch bei OpenSuse 11.1 (?) mit an Bord.

Und zwar habe ich unter CUPS einen Drucker eingerichtet. Bei einem Druckversuch blockiert jedoch SELinux den Zugriff.
Etwas detailliertere Fehlermeldung:

SELinux hindert cupsd (cupsd_t) "execute_no_trans" am Zugriff auf /opt/OpenPrinting-Gutenprint/cups/lib/filter/rastertogutenprint.5.2 (lib_t).

Ich denke es wäre nicht so gut SELinux komplett zu deaktivieren. Aber wie kann ich wenigstens das Drucken als "erlaubt" makieren?

 

[kamal]

execute_no_trans erlaubt das Ausführen einer Datei ohne eine domain transition durchführen zu müssen.
cupsd läuft als cupsd_t aber die Datei rastertogutenprint.5.2 ist als lib_t gelabelt. Geht also nicht ohne domain transition.
Man kann nun die Datei relabeln nach cupsd_t oder der Domain cupsd_t execute_no_trans für die Datei erlauben, oder einen eigenen
ganz neuen Security Context erstellen.
Relabeln dürfte unproblematischer sein, als die Policy zu ändern. chcon wäre der Befehl dazu.
Eventuell hilft auch audit2why und audit2allow.
Meist zieht sowas einen Rattenschwanz an anderen Sachen hinterher die erlaubt werden müssen, ich nehme an, dass es mit
der einzelnen Datei nicht getan ist.
Die Auswirkungen auf die Sicherheit durch diese Änderung kann ich aber nicht abschätzen.

 

[mmw]

Ok, unter anderem, weil ich SELinux nicht so toll fand, bin ich mittlerweile wieder auf OpenSuse umgestiegen. Deswegen schließ' ich das Thema einfach mal. Danke soweit für die Bemühungen.