cfiske's questions

我有一个 CentOS 7 系统，我在其中使用 postfix 作为 MTA。某些用户.forward在他们的主目录中使用 procmail via：

# cat .forward
"|exec /usr/bin/procmail -f- || exit 75"

在这种情况下，我很难弄清楚为什么 SELinux 不允许 procmail 从以下位置执行 dspam .procmailrc：

:0fw: dspam.lock
| /usr/bin/dspam --client --stdout --deliver=spam,innocent

在 procmail 日志中，我得到：

procmail: Locking "dspam.lock"
procmail: Executing "/usr/bin/dspam,--client,--stdout,--deliver=spam,innocent"
/bin/sh: /usr/bin/dspam: Permission denied
procmail: Program failure (126) of "/usr/bin/dspam"
procmail: Rescue of unfiltered data succeeded
procmail: Unlocking "dspam.lock"

但是，如果我将 SELinux 设置为宽容模式，它就可以正常工作。

问题是它没有记录任何关于被拒绝内容的 AVC 消息。当我第一次设置时，我发现了一些差距audit2why并ausearch修复了它们。现在我什么也得不到，即使它显然是 SELinux 阻止它工作。

编辑：这是 dspam 二进制文件：

# ls -lZ /usr/bin/dspam
-r-x--s--x. dspam mail system_u:object_r:dspam_exec_t:s0 /usr/bin/dspam

我正在尝试让 dspam 在 SELinux (CentOS 7) 下工作。我毫无问题地添加了以下内容：

allow dspam_t dspam_rw_content_t:dir getattr;
allow dspam_t dspam_rw_content_t:file { append getattr lock open write };

然而 dspam 仍然无法通过 procmail 工作：

/bin/sh: /usr/bin/dspam: Permission denied
procmail: Program failure (126) of "/usr/bin/dspam"

当我将 SELinux 设置为宽容时，它工作正常。我尝试使用audit2allow来确定缺少的内容：

[root@opus ~]# audit2allow -i /var/log/audit/audit.log
#============= dspam_t ==============
allow dspam_t dspam_rw_content_t:dir search;

但是将其添加到我的政策中会导致checkmodule错误：

checkmodule:  loading policy configuration from OPUS.te
OPUS.te:19:ERROR 'permission search is not defined for class dir' at token ';' on line 19:
allow dspam_t dspam_rw_content_t:dir getattr;
allow dspam_t dspam_rw_content_t:dir search;
checkmodule:  error(s) encountered while parsing configuration

我搜索了一下，但找不到解决方案。我将如何添加或定义search指示的权限？