¿Cómo puedo desactivar SELinux para un subproceso lanzado desde Apache?

Question

Mi Apache módulo lanzamientos de un ayudante subproceso que realiza, por ejemplo, pero no limitado por, las siguientes cosas:

• Se configura una toma para que pueda comunicarse con Apache.
• lee y escribe archivos en una ubicación temporal que se elimina cuando las salidas de Apache. Estos archivos se utilizan, por ejemplo, para almacenar grandes cantidades de datos recibidos por la red, en caso de que los datos no se ajusta cómodamente en la memoria RAM.
• Desova ejecutables especificados por el usuario. Al igual que en CGI. Cada uno de estos procesos generados son administrados como propio usuario dedicada.

El subproceso ayudante se puso en marcha como root para que pueda gestionar los ficheros propios y permisos y puede generar más procesos como usuarios específicos.

Algunos usuarios de mi módulo se ejecutan en sistemas con SELinux instalados, por ejemplo, distribuciones RedHat-basado. SELinux por lo general interfiere con mi módulo. Hasta ahora he estado diciendo a la gente a todo el sistema de SELinux desactivar porque no puedo encontrar la manera de escribir una política adecuada para mi software. La documentación está muy dispersa, compleja y por lo general sólo se refiere a los administradores del sistema, no los desarrolladores de software.

Como un paso en la dirección correcta, quiero poner en práctica un apoyo mínimo para SELinux. Estoy buscando una manera de lanzar mi ayudante subproceso sin ningún tipo de restricciones SELinux sin desactivar SELinux en todo el sistema. ¿Hay una manera de hacerlo, y si es así, ¿cómo?

Answer 1

Bueno ... podría escribir una regla que las transiciones de su dominio para unconfined_t, pero entonces lo que cabrean un buen número de los administradores de sistemas. Mejor para escribir usted mismo un nuevo dominio que hereda de httpd_t y también añade los contextos apropiados para el acceso.