Page 1 sur 1

SELinux et lpstat

Publié : 15 mars 2018, 12:47
par fgland
Bonjour,
Dans une application LAMP, j'ai besoin de lpstat pour gérer l'impression mais exec(lpstat) n'est pas admis par SELinux. Étant dans un environnement local, je peux le désactiver (ce que j'ai fait pour l'instant) mais j'aimerais autant corriger le problème. Comment puis-je lui en permettre l'utilisation ?
J'ai essayé d'utiliser selinux-polengui pour le gérer mais si j'ai pu mettre le chemin de l'exécutable, je ne vois pas quoi mettre comme Script de démarrage.
Un petit coup de main me serait bien utile

Merci

Gérard

Re: SELinux et lpstat

Publié : 15 mars 2018, 16:01
par nouvo09
Salut

Setroubleshootd est installé ?

Re: SELinux et lpstat

Publié : 17 mars 2018, 15:55
par fgland
désolé pour le retard de la réponse, je pensais recevoir une notification via email mais je n'avias pas coché l'option !

Code : Tout sélectionner

Le paquet setroubleshoot-plugins-3.0.65-1.el7.noarch est déjà installé dans sa dernière version
Le paquet setroubleshoot-3.2.28-3.el7.x86_64 est déjà installé dans sa dernière version
Le paquet setroubleshoot-server-3.2.28-3.el7.x86_64 est déjà installé dans sa dernière version
cela m'a donné l'idée de chercher des infos sur le paquet et donc de trouver la solution
https://wiki.centos.org/HowTos/SELinux
un très grand merci

Gérard

Re: SELinux et lpstat

Publié : 17 mars 2018, 22:00
par nouvo09
Et dans ton cas quelle était la solution adaptée ?

Re: SELinux et lpstat

Publié : 18 mars 2018, 12:20
par fgland
N'ayant qu'un accès ssh sur la machine, j'ai récupéré l'erreur comme indiqué dans le wiki : sealert -a /var/log/audit/audit.log > /path/to/mylogfile.txt

Code : Tout sélectionner

SELinux is preventing /usr/bin/lpstat.cups from read access on the file /etc/cups/lpoptions.
*****  Plugin catchall (100. confidence) suggests   **************************

If vous pensez que lpstat.cups devrait être autorisé à accéder read sur lpoptions file par défaut.
Then vous devriez rapporter ceci en tant qu'anomalie.
Vous pouvez générer un module de stratégie local pour autoriser cet accès.
Do
allow this access for now by executing:
# ausearch -c 'lpstat' --raw | audit2allow -M my-lpstat
# semodule -i my-lpstat.pp
J'ai appliqué ces deux commandes et accède maintenant à la liste des imprimantes
Gérard

Re: SELinux et lpstat

Publié : 18 mars 2018, 22:59
par nouvo09
D'accord. Il y a un applet pour ça lorsqu'on est en session graphique, et c'est exactement le même procédé.