SELinux et lpstat

fgland
Messages : 35
Inscription : 13 juin 2010, 17:43

SELinux et lpstat

Message par fgland » 15 mars 2018, 12:47

Bonjour,
Dans une application LAMP, j'ai besoin de lpstat pour gérer l'impression mais exec(lpstat) n'est pas admis par SELinux. Étant dans un environnement local, je peux le désactiver (ce que j'ai fait pour l'instant) mais j'aimerais autant corriger le problème. Comment puis-je lui en permettre l'utilisation ?
J'ai essayé d'utiliser selinux-polengui pour le gérer mais si j'ai pu mettre le chemin de l'exécutable, je ne vois pas quoi mettre comme Script de démarrage.
Un petit coup de main me serait bien utile

Merci

Gérard

Avatar de l’utilisateur
nouvo09
Messages : 2169
Inscription : 20 octobre 2009, 08:14
Localisation : Paris, France

Re: SELinux et lpstat

Message par nouvo09 » 15 mars 2018, 16:01

Salut

Setroubleshootd est installé ?
C'est pas parce que c'est difficile qu'on ose pas,
c'est parce qu'on ose pas que c'est difficile !

fgland
Messages : 35
Inscription : 13 juin 2010, 17:43

Re: SELinux et lpstat

Message par fgland » 17 mars 2018, 15:55

désolé pour le retard de la réponse, je pensais recevoir une notification via email mais je n'avias pas coché l'option !

Code : Tout sélectionner

Le paquet setroubleshoot-plugins-3.0.65-1.el7.noarch est déjà installé dans sa dernière version
Le paquet setroubleshoot-3.2.28-3.el7.x86_64 est déjà installé dans sa dernière version
Le paquet setroubleshoot-server-3.2.28-3.el7.x86_64 est déjà installé dans sa dernière version
cela m'a donné l'idée de chercher des infos sur le paquet et donc de trouver la solution
https://wiki.centos.org/HowTos/SELinux
un très grand merci

Gérard

Avatar de l’utilisateur
nouvo09
Messages : 2169
Inscription : 20 octobre 2009, 08:14
Localisation : Paris, France

Re: SELinux et lpstat

Message par nouvo09 » 17 mars 2018, 22:00

Et dans ton cas quelle était la solution adaptée ?
C'est pas parce que c'est difficile qu'on ose pas,
c'est parce qu'on ose pas que c'est difficile !

fgland
Messages : 35
Inscription : 13 juin 2010, 17:43

Re: SELinux et lpstat

Message par fgland » 18 mars 2018, 12:20

N'ayant qu'un accès ssh sur la machine, j'ai récupéré l'erreur comme indiqué dans le wiki : sealert -a /var/log/audit/audit.log > /path/to/mylogfile.txt

Code : Tout sélectionner

SELinux is preventing /usr/bin/lpstat.cups from read access on the file /etc/cups/lpoptions.
*****  Plugin catchall (100. confidence) suggests   **************************

If vous pensez que lpstat.cups devrait être autorisé à accéder read sur lpoptions file par défaut.
Then vous devriez rapporter ceci en tant qu'anomalie.
Vous pouvez générer un module de stratégie local pour autoriser cet accès.
Do
allow this access for now by executing:
# ausearch -c 'lpstat' --raw | audit2allow -M my-lpstat
# semodule -i my-lpstat.pp
J'ai appliqué ces deux commandes et accède maintenant à la liste des imprimantes
Gérard

Avatar de l’utilisateur
nouvo09
Messages : 2169
Inscription : 20 octobre 2009, 08:14
Localisation : Paris, France

Re: SELinux et lpstat

Message par nouvo09 » 18 mars 2018, 22:59

D'accord. Il y a un applet pour ça lorsqu'on est en session graphique, et c'est exactement le même procédé.
C'est pas parce que c'est difficile qu'on ose pas,
c'est parce qu'on ose pas que c'est difficile !

Répondre