服务器 Gind.cn
  1. 服务器 Gind.cn
  3. SELinux:denied {执行}为pid = 2174 comm =“httpd”path =“/ etc / httpd / lib / libaprutil-1.so.0.5.3”
Intereting Posts
低成本,灵活的日志聚合 如何通过命令行远程查看Windows-2008-R2上的networkingconfiguration? 任何有关MySQL服务的build议? Cisco Auto Smartports on catalyst 2960-s 返回邮件 – revDNS + Helo命令被拒绝:找不到主机 与wordpress克隆服务器的wp-adminlogin在原始服务器的IP地址/ wp-admin 在将linode从Xen升级到KVM时处理/ etc / fstab xend不会显示vif接口 ModSecurity规则不扫描URI 用超过30%的大小replace窗口超大光标文件(Server 2008 R2) 将GApps用户同步到LDAP(或者只是passwd文件) 我怎样才能避免只有在我的浏览器上按F5 90 CPU加载? PHP执行一个我已经覆盖的脚本的旧版本 什么可能导致“kill -9 pid”失败? Windows 2008 R2性能IPv6stream量vs IPv4

SELinux:denied {执行}为pid = 2174 comm =“httpd”path =“/ etc / httpd / lib / libaprutil-1.so.0.5.3”

我有SELinux的问题。 setroubleshootbuild议启用mypol.ppsemodule -i mypol.pp所以Apache可以运行。

我运行build议的命令后,我不断得到: 

 type=AVC msg=audit(1388119964.806:11): avc: denied { execute } for pid=2174 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" dev=md0 ino=2228931 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_config_t:s0 tclass=file **** Invalid AVC allowed in current policy *** type=AVC msg=audit(1388120085.792:29): avc: denied { execute } for pid=2298 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" dev=md0 ino=2228931 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_config_t:s0 tclass=file **** Invalid AVC allowed in current policy *** type=AVC msg=audit(1388120159.57:37): avc: denied { execute } for pid=2330 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" dev=md0 ino=2228931 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_config_t:s0 tclass=file **** Invalid AVC allowed in current policy *** type=AVC msg=audit(1388121088.955:65): avc: denied { name_connect } for pid=2331 comm="httpd" dest=8080 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:http_cache_port_t:s0 tclass=tcp_socket **** Invalid AVC allowed in current policy *** found 0 alerts in /var/log/audit/audit.log

下面告诉我你有一个重叠问题。

type=AVC msg=audit(1388119964.806:11): avc: denied { execute } for pid=2174 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" dev=md0 ino=2228931 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_config_t:s0 tclass=file

/etc/httpd/lib是其他地方的符号链接吗? 通常你不会把你的库放在这里,而只是作为一个符号链接。 如果这样运行restorecon -Rv /usr/lib{,64}可能会有所帮助。

对于下面报告的第二个问题,你需要确保SELinux知道你期望从你的httpd服务中得到什么样的行为。

type=AVC msg=audit(1388121088.955:65): avc: denied { name_connect } for pid=2331 comm="httpd" dest=8080 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:http_cache_port_t:s0 tclass=tcp_socket

通过运行setsebool -P httpd_can_network_relay 1启用布尔型httpd_can_network_relay

我不知道**** Invalid AVC allowed in current policy ***消息中**** Invalid AVC allowed in current policy ******* Invalid AVC allowed in current policy ***但是我们已经在这里对此进行了问答

运行您通过audit2allow提供的文本build议 

 #============= httpd_t ============== allow httpd_t http_cache_port_t:tcp_socket name_connect; allow httpd_t httpd_config_t:file execute;

所以您可以尝试使用grep将相关的AVC拒绝消息提取到临时文件,然后将其传递到audit2allow 

 grep denied: audit.log | grep httpd >temp.log cat temp.log | audit2allow -M myHTTPD ******************** IMPORTANT *********************** To make this policy package active, execute: semodule -i myHTTPD.pp

安装myHTTPD.pp后,您仍然可能会发现SElinux停止启动httpd。 这是因为更早的(现在允许的)否认不再掩盖后者。 每次重复上面的过程。