<br><font size=2><tt>&gt;On Thu, 2005-08-11 at 13:47 +0800, Richard Pannell
wrote:<br>
&gt;&gt; <br>
&gt;&gt; I am having problems running squid authentication (ntlm_auth)
in FC4<br>
&gt;&gt; with selinux turned on. When I use setenforce 0 I have no problems.<br>
&gt;&gt; But with setenforce set to 1 it fails. So using &quot;audit2allow
-l<br>
&gt;&gt; -i /var/log/message&quot; I got the following result<br>
&gt;&gt; <br>
&gt;&gt; allow auditd_t initrc_t:unix_dgram_socket sendto;<br>
&gt;&gt; allow klogd_t device_t:sock_file write;<br>
&gt;&gt; allow klogd_t initrc_t:unix_dgram_socket sendto;<br>
&gt;&gt; allow rpcd_t etc_runtime_t:file read;<br>
&gt;&gt; allow rpcd_t proc_t:file read;<br>
&gt;&gt; allow rpcd_t samba_etc_t:dir search;<br>
&gt;&gt; allow rpcd_t samba_var_t:dir { getattr search };<br>
&gt;&gt; allow syslogd_t etc_runtime_t:file read;<br>
&gt;&gt; allow syslogd_t proc_t:file read; &nbsp;<br>
&gt;&gt; <br>
&gt;&gt; which I added<br>
&gt;&gt; to /etc/selinux/targeted/src/policy/domains/misc/local.te and
ran &nbsp; <br>
&gt;&gt; <br>
&gt;&gt; make -C /etc/selinux/targeted/src/policy clean<br>
&gt;&gt; make -C /etc/selinux/targeted/src/policy load <br>
&gt;<br>
&gt;Do you get the same output from audit2allow after doing this?</tt></font>
<br><font size=2><tt>Yes I am.<br>
&gt;<br>
&gt;Are you running auditd? If so, you should be looking<br>
&gt;in /var/log/audit/audit.log rather than /var/log/messages for AVC<br>
&gt;errors.</tt></font>
<br><font size=2><tt>Yes I am. So it was showing.</tt></font>
<br>
<br><font size=2><tt>allow apmd_t device_t:sock_file write;</tt></font>
<br><font size=2><tt>allow apmd_t devpts_t:chr_file { getattr ioctl };</tt></font>
<br><font size=2><tt>allow apmd_t devpts_t:dir search;</tt></font>
<br><font size=2><tt>allow apmd_t initrc_t:unix_dgram_socket sendto;</tt></font>
<br><font size=2><tt>allow apmd_t selinux_config_t:file read;</tt></font>
<br><font size=2><tt>allow auditd_t device_t:sock_file write;</tt></font>
<br><font size=2><tt>allow bluetooth_t device_t:sock_file write;</tt></font>
<br><font size=2><tt>allow httpd_t winbind_var_run_t:dir getattr;</tt></font>
<br><font size=2><tt>allow ntpd_t device_t:sock_file write;</tt></font>
<br><font size=2><tt>allow ntpd_t initrc_t:unix_dgram_socket sendto;</tt></font>
<br><font size=2><tt>allow system_dbusd_t device_t:sock_file write;</tt></font>
<br><font size=2><tt>allow system_dbusd_t initrc_t:unix_dgram_socket sendto;</tt></font>
<br><font size=2><tt>allow system_dbusd_t winbind_var_run_t:dir getattr;</tt></font>
<br><font size=2><tt>allow updfstab_t device_t:sock_file write;</tt></font>
<br><font size=2><tt>allow winbind_helper_t initrc_t:unix_stream_socket
connectto;</tt></font>
<br><font size=2><tt>allow winbind_helper_t samba_var_t:dir search;</tt></font>
<br>
<br><font size=2><tt>Added this to the local.te file which worked thanks
very much.<br>
&gt;<br>
&gt;Paul.</tt></font>