Sí has tenido problemas con SELinux, Dovecot y Procmail en CentOS 5, ésto te interesa.
Luego de una reciente actualización de selinux-policy-targeted, algunos sistemas con SELinux activo han presentado problemas para operar Dovecot y Procmail a pesar de tener activas las políticas allow_postfix_local_write_mail_spool y mail_read_content. A continuación publico la solución temporal al problema, sí acaso se ha presentado en tu servidor de correo electrónico.
El problema básicamente se debe a que SELinux impide a Dovecot y Procmail realizar la función de búsqueda (search) de archivos dentro de los directorios. La solución consiste en generar una política personalizada de la siguiente forma:
Crear un directorio donde almacenar la política:
mkdir /usr/share/selinux/packages/parchecorreo- Cambiarse al directorio /usr/share/selinux/packages/parchecorreo
cd /usr/share/selinux/packages/parchecorreoDescargar con wget el archivo parchecorreo.te desde Alcance Libre
wget http://www.alcancelibre.org/linux/secrets/parchcorreo.teO bien generar el archivo parchecorreo.te con el siguiente contenido:
module parchecorreo 1.0; require { type file_t; type dovecot_t; type procmail_t; class dir search; } #============= dovecot_t ============== allow dovecot_t file_t:dir search; #============= procmail_t ============== allow procmail_t file_t:dir search;A partir del archivo parchecorreo.te, se genera un archivo de módulo (parchecorreo.mod):
checkmodule -M -m -o parchecorreo.mod parchecorreo.teA partir del archivo de módulo parchecorreo.mod se genera un archivo de paquete de política (parchecorreo.pp):
semodule_package -o parchecorreo.pp -m parchecorreo.mod- Se carga en el núcleo el archivo de paquete de política parchecorreo.pp:
semodule -i parchecorreo.pp
Solo algunos sistemas han reportado este problema (algunos de nuestros clientes), así que solo es necesario realizar este procedimiento sí acaso el servicio de Dovecot da problemas para permitir la lectura de correo electrónico.
Espero esté de más comentar que hoy en día desactivar SELinux en un servidor en producción prácticamente equivale a una invitación al suicidio.
Los siguientes comentarios son de la persona que los haya enviado. Este sitio no se hace responsable de las opiniones expresadas por los participantes en los foros y secciones de comentarios, y el hecho de publicar las mismas no significa que esté de acuerdo con ellas.
Yo nunca tengo problemas con Selinux... es el primer juguete que desactivo... ja ja ja