Способ инициировать нарушение политики SELinux?

продемонстрировать полезность SELinux в обнаружение ошибок для стороннего кода / вашего собственного разработчика, вот тест защиты памяти (изменение первого примера кода здесь):

#include <fcntl.h>
#include <stdio.h>
#include <sys/mman.h>

int main (void) {
  // open file read-write, get a memory-mapped pointer with private access, write permission
  int fd = open ("file_to_test", O_RDWR);
  char *p = mmap (NULL, 42, PROT_READ | PROT_WRITE, MAP_PRIVATE, fd, 0);

  p[0] = 'a';   // put something

  // Update protection mode; SELinux response depends on sebool: allow_execmod
  int r = mprotect (p, 42, PROT_READ | PROT_EXEC);

  // Display mprotect result
  printf ("mprotect = %d\n", r);

  close(fd);
  return 0;
}

$ echo "test data" > file_to_test
$ gcc execmod.c 

$ ./a.out 
mprotect = 0

$ sudo aureport -a

AVC Report
========================================================
# date time comm subj syscall class permission obj event
========================================================
<no events of interest were found>

изменить логические значения, чтобы поймать проблему:

$ sudo getsebool allow_execmod
allow_execmod --> on

$ sudo setsebool allow_execmod 0
$ ./a.out 
mprotect = -1

$ sudo aureport -a

AVC Report
========================================================
# date time comm subj syscall class permission obj event
========================================================
1. 04/30/2015 12:26:41 a.out unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 10 file execmod unconfined_u:object_r:user_home_t:s0 denied 3612

если вы не изменили свою политику в булевой вкладке system-config-selinux (или в /etc / selinux / policy), то значение по умолчанию должно отвечать на следующее (N. B., Вы также можете установить setroubleshoot для более глубокого погружения):

mkdir-m 755-p /install/ks

cp/root / anaconda-ks.cfg / install / ks

chmod 644 / install/ks / anaconda-ks.cfg

затем перезапустите веб-сервер и попытайтесь получить доступ http://localhost/ks С помощью веб-браузера. Вы должны увидеть сообщение "запрещено". Если вы хвост /var/log/audit/audit.log Если вы ausearch -m avc -ts recent, то вы должны увидеть сообщение: type=AVC msg=audit(1391277951.222:266): avc: denied { read } for pid=1731 comm="httpd" name="ks" dev=sda1 ino=22351 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined u:object r:default t:s0 tclass=dir

вы можете изменить контекст SELinux с помощью chcon -Rv --reference /var/www/html /install/ks Если вы не хотите отключать SELinux, но иметь доступ к ресурсу.

EDIT: извините, не видел ,что вы сказали "Не веб-сервер". Попробуй chcon -u fake_u <filename> использование непривилегированной учетной записи в системном файле.