<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/3.16.3">
</HEAD>
<BODY>
<BR>
On Wed, 2008-02-13 at 18:23 -0800, Daniel B. Thurman wrote:<BR>
<BLOCKQUOTE TYPE=CITE>
    <FONT COLOR="#000000">In one of the Fedora CVS server setup, it says that if the</FONT><BR>
    <FONT COLOR="#000000">administrator wants to use a simple pserver remote string</FONT><BR>
    <FONT COLOR="#000000">such as:</FONT><BR>
    <BR>
    <FONT COLOR="#000000">export CVSROOT=':pserver:<A HREF="mailto:dant@gold"><</A><A HREF="mailto:username@gold">username</A><A HREF="mailto:dant@gold">></A><A HREF="mailto:username@gold">@<systemname></A>:/cvs'</FONT><BR>
    <BR>
    <FONT COLOR="#000000">Then one has to:</FONT><BR>
    <BR>
    <FONT COLOR="#000000">1) /etc/xinetd.d/cvs:</FONT><BR>
    <FONT COLOR="#000000">    server_args             = -f --allow-root=/cvs pserver</FONT><BR>
    <FONT COLOR="#000000">2) ln -s /var/cvs /cvs</FONT><BR>
    <BR>
    <FONT COLOR="#000000">But the problem here is that SELinux has no context for</FONT><BR>
    <FONT COLOR="#000000">the symbolic link /cvs, therefore deny's access.</FONT><BR>
    <BR>
    <FONT COLOR="#000000">I tried setting context for /cvs by:</FONT><BR>
    <FONT COLOR="#000000">1) chcon -t cvs_data_t</FONT><BR>
    <BR>
    <FONT COLOR="#000000">No dice.  Does not work.</FONT><BR>
    <BR>
    <FONT COLOR="#000000">To see if I can cvs login bypassing Selinux, I tried:</FONT><BR>
    <FONT COLOR="#000000">1) setenforce 0</FONT><BR>
    <FONT COLOR="#000000">2) cvs login (successfully)</FONT><BR>
    <FONT COLOR="#000000">3) setenforce 1</FONT><BR>
    <BR>
    <FONT COLOR="#000000">So, what can I do to get SElinux to authorize the /cvs symbolic link access to /var/cvs?</FONT><BR>
    <BR>
    <FONT COLOR="#000000">Thanks-</FONT><BR>
    <FONT COLOR="#000000">Dan </FONT><BR>
</BLOCKQUOTE>
<BR>
Apologies to all.  It turns out that my email spam system was blocking me from<BR>
receiving email responses I was waiting for!  Geez, I will have to add another<BR>
TODO to my list.<BR>
<BR>
To Paul: Can you explain what you mean by: "maybe try a bind mount instead of a symlink?"<BR>
<BR>
To Stephen: "/sbin/ausearch -i -m AVC"<BR>
type=SYSCALL msg=audit(02/13/2008 19:17:32.484:5097) : arch=i386 syscall=open success=no exit=-13(Permission denied) a0=8faf660 a1=8000 a2=1b6 a3=8fafa58 items=0 ppid=25427 pid=27015 auid=dant uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) comm=cvs exe=/usr/bin/cvs subj=system_u:system_r:cvs_t:s0-s0:c0.c1023 key=(null) <BR>
type=AVC msg=audit(02/13/2008 19:17:32.484:5097) : avc:  denied  { read } for  pid=27015 comm=cvs name=cvs dev=sdb5 ino=49172 scontext=system_u:system_r:cvs_t:s0-s0:c0.c1023 tcontext=system_u:object_r:default_t:s0 tclass=lnk_file <BR>
<BR>
Thanks for responding!<BR>
Dan
</BODY>
</HTML>