3.4 Операционная система с SELinux |
Если ваша операционная система защищена при помощи подсистемы контроля SELinux, то при попытке запуска сканирования (а также, возможно, при попытке автоматического старта Демона-Сканера) вы можете получить сообщение об ошибке запуска. Пример сообщения, возникающего при попытке запуска сканирования в Пульте управления Антивируса Dr.Web для Linux: Рис. 2. Ошибка Сканера Чтобы при работающей подсистеме контроля SELinux компоненты Dr.Web Console Scanner, Dr.Web Daemon и Dr.Web SpIDer Guard могли успешно функционировать, необходимо скомпилировать политики для работы с соответствующими модулями drweb-scanner, drweb-daemon и drweb-spider или установить значение переменной ОС allow_execheap равным 1.
Чтобы создать необходимые политики:
Пример:
# policygentool drweb-scanner /opt/drweb/drweb.real
# policygentool drweb-daemon /opt/drweb/drwebd.real
# policygentool drweb-spider /opt/drweb/drweb-spider.real Вам будет предложено указать несколько общих характеристик домена, после чего для каждого модуля будут созданы три файла:
Пример: # audit2allow -M -i /var/log/audit/audit.log drweb В данном примере audit2allow производит поиск сообщений об отказе в доступе в файле audit.log. Пример: # audit2allow -a -M drweb В данном примере audit2allow ищет сообщения об отказе в доступе в файлах журналов автоматически. В обоих случаях в результате работы утилиты создаются два файла: исходный файл политики drweb.te и готовый к установке модуль политики drweb.pp. Если вы хотите внести изменения в разграничения для работы компонентов Антивируса Dr.Web для Linux, отредактируйте файл drweb.te соответствующим образом и перейдите к пункту 2. Если вносить изменения в файл политики не требуется, перейдите к пункту 4 для установки модуля политики drweb.pp.
Пример: # checkmodule -M -m -o drweb.mod drweb.te
Пример: # semodule_package -o drweb.pp -m drweb.mod
Пример: # semodule -i drweb.pp Также для разрешения работы компонентов Dr.Web Console Scanner, Dr.Web Daemon и Dr.Web SpIDer Guard возможно (но не рекомендуется!) установить значение переменной ОС allow_execheap равной 1. Значение этой переменной ОС позволяет или запрещает исполнение данных в куче (memory heap) для всех приложений, запущенных в неограниченном (unconfined) домене. Чтобы установить значение переменной allow_execheap, выполните команду: # setsebool -P allow_execheap=1 |