3.4 Système d'exploitation avec SELinux |
Si votre système d'exploitation est protégé par le sous-système SELinux, en cas de tentative de lancer le scan pour analyser le système à la recherche des virus (ainsi que lors de la tentative de démarrage automatique de Daemon-Scanner), vous pouvez recevoir un message informant sur une erreur de démarrage : Voici un exemple de message affiché en cas de tentative de lancer le scan via Panneau de commande: Fig. 2. Erreur de Scanner Lorsque le SELinux fontionne, pour que les composants Dr.Web Console Scanner, Dr.Web Daemon et Dr.Web SpIDer Guard puissent fonctionner correctement, il faut compiler des politiques pour les modules respectifs drweb-scanner, drweb-daemon et drweb-spider ou il faut que la valeur de la variable allow_execheap soit égale à 1.
Pour créer des politiques nécessaires :
Exemple :
# policygentool drweb-scanner /opt/drweb/drweb.real
# policygentool drweb-daemon /opt/drweb/drwebd.real
# policygentool drweb-spider /opt/drweb/drweb-spider.real Vous serez invité à spécifier plusieurs caractéristiques communes du domaine et ensuite les trois fichiers suivants seront créés pour chaque module :
Exemple : # audit2allow -M -i /var/log/audit/audit.log drweb Dans cet exemple, audit2allow réalise une recherche des messages sur un accès refusé au fichier audit.log. Exemple : # audit2allow -a -M drweb Dans l'exemple, audit2allow recherche les messages sur un accès refusé dans les fichiers de log de manière automatique. Dans les deux cas, à la suite du fonctionnement de l'utilitaire, les deux fichiers sont créés : le fichier source de la politique drweb.te et le module de politique prêt à être installé drweb.pp. Si vous souhaitez apporter des modifications dans les permissions relatives aux composants de l'Antivirus Dr.Web pour Linux, éditez le fichier drweb.te comme vous le souhaitez et passez à l'étape 2. S'il n y a pas de modifications à apporter, passez directement à l'étape 4 pour installer le module de politique drweb.pp.
Exemple : # checkmodule -M -m -o drweb.mod drweb.te
Exemple : # checkmodule -M -m -o drweb.mod drweb.te
Exemple : # semodule -i drweb.pp Pour autoriser le fonctionnement des composants Dr.Web Console Scanner, Dr.Web Daemon et Dr.Web SpIDer Guard, il est également possible mais pas recommandé d'attribuer la valeur 1 à la variable d'environnement allow_execheap. La variable d'environnement allow_execheap autorise ou interdit l'exécution des tas de données (memory heap) pour toutes les application lancées sans un domaine non limité (unconfined). Pour paramétrer la variable allow_execheap, exécutez dans la ligne de commande : # setsebool -P allow_execheap=1 |