我正在分析一些专有软件来构build一组权限需求和SELinux策略,以便在Oracle Linux(或任何RHEL衍生产品)上安装和运行。 我在宽容模式下运行SELinux,我运行semodule -DB来禁用“dontaudit”,我正在查看/var/log/audit/audit.log查看结果。 不过,我也希望看到一切都被允许(不仅仅是否认或听起来很低),这似乎是多数人所认为的: [root@aw-selinuxtest ~]# seinfo –stats Statistics for policy file: /etc/selinux/targeted/policy/policy.24 Policy Version & Type: v.24 (binary, mls) Classes: 81 Permissions: 237 Sensitivities: 1 Categories: 1024 Types: 3852 Attributes: 291 Users: 9 Roles: 12 Booleans: 228 Cond. Expr.: 268 Allow: 311381 Neverallow: 0 Auditallow: 133 Dontaudit: 0 Type_trans: 38576 Type_change: 38 Type_member: […]
我有msmtp作为一个空客户端连接到我的AWS SES账户的SMTP,提供警报,如cron,monit,并希望Fail2Ban很快到我的电子邮件地址。 但是,Fail2Ban不会打球,或者更准确地说,selinux正在阻止事情的发生。 在许可模式下,action_mwl工作得很好。 我禁止了电子邮件。 在强制模式下,Fail2Banlogging一个错误,不发送邮件。 根据msmtp日志,试图发送它,但是它不会。 下面是Fail2Ban日志条目的一部分(部分): 2015-09-29 12:25:12,543 fail2ban.actions [31113]: ERROR Failed to execute ban jail 'wordpress' action 'sendmail-whois-lines' info 'CallingMap({'ipjailmatches': <function <lambda> at 0x2c5ac08>, 'matches': u' msmtp报告: Sep 29 12:25:12 host=email-smtp.eu-west-1.amazonaws.com tls=on auth=on user=12345 [email protected] [email protected] errormsg='cannot connect to email-smtp.eu-west-1.amazonaws.com, port 587: Permission denied' exitcode=EX_TEMPFAIL 这不是一个msmtpconfiguration问题,也不是一个电子邮件正文内容问题,因为我可以从命令行pipe道发送确切的Fail2Ban消息到msmtp(直接,或通过sendmail符号链接)就好了,它发送精美。 证书等,因此是好的。 也可以通过cron工作。 这意味着它也不是防火墙问题。 $ sudo ls […]
我试图学习SELinux,并通过RHEL 7的红帽文档。我find了多层安全(MLS)的文档,想试试它,所以我设置SELINUXTYPE = mls和SELINUX =宽容,感动/.autorelabel (回应一个-F到它)并重新启动。 我能够login,但想检查审计日志,以确保没有发生任何失败或拒绝,这将阻止我使用强制模式login。 我发现以下内容: type=AVC msg=audit(1457127380.826:208): avc: denied { dyntransition } for pid=2109 comm="sshd" scontext=system_u:system_r:sshd_t:s0-s15:c0.c1023 tcontext=root:sysadm_r:sysadm_t:s0 tclass=process 所以,我认为这是没有什么可担心的(仍然学习),所以我设置SELINUX强制执行并重新启动。 locking自己! 我能够回到一些黑客,并设置SELINUX宽容,但我不知道为什么它不工作… 我试图恢复con / usr / sbin / sshd,并且它有正确的上下文: ls -Z /usr/sbin/sshd -rwxr-xr-x. root root system_u:object_r:sshd_exec_t:s0 /usr/sbin/sshd 但是,如果你看错误中的tcontect,它是奇怪的: tcontext=root:sysadm_r:sysadm_t:s0 无论如何,正如我所说,我仍然在学习,所以任何build议都会有所帮助…文档来解释任何示例或解决scheme将不胜感激 – “教一个人钓鱼…” 非常感谢! 乔
我需要使/etc/pki/CA/certs/cacert.pem与/ etc / pki中的所有其他文件具有相同的上下文: system_u:object_r:cert_t:s0 尝试restorecon -vR / etc / pki和semanage fcontext,但该文件保留在unconfined_u:object_r:cert_t:s0上下文中。
我有一个简单的scheme:我想要/home/leonard/apache/sandbox/markdown到/home/leonard/github/markdown-editor ,这样markdown-editor可以从我的浏览器中查看。 我设置了ln -s /home/leonard/github/markdown-editor /home/leonard/apache/sandbox/public/markdown这个链接,显示出来并且可以正常导航。 当我在浏览器中查看时,我得到了403 Forbidden 。 我的audit.log显示如下: type=AVC msg=audit(1461759062.021:1232192): avc: denied { read } for pid=30107 comm="httpd" name="markdown" dev=md2 ino=25300345 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=lnk_file type=SYSCALL msg=audit(1461759062.021:1232192): arch=c000003e syscall=4 success=no exit=-13 a0=7f88e34cff28 a1=7ffc036e2dd0 a2=7ffc036e2dd0 a3=7f88dec032e0 items=0 ppid=36009 pid=30107 auid=0 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=88286 comm="httpd" exe="/usr/sbin/httpd" subj=unconfined_u:system_r:httpd_t:s0 key=(null) type=AVC […]
我不满意这个问题的答案: $> sudo semanage port -d -p tcp -t foo… ValueError: Port foo is defined in policy, cannot be deleted 被接受的答案是 SELinux策略包括端口的定义…没有必要删除它们。 不需要删除它们。 好的,但我想要删除它们 – 我希望SELinux可用性的端口匹配端口的实际可用性,只是为了一致性的缘故。 如何semanage port -d在策略中定义的端口? (在我的情况下,SSH。)
我写了这个脚本,现在可以在没有安装SElinux的系统上完美工作。 echo Enter server IP: read server scp /home/Zenoss/.ssh/authorized_keys random@$server:/home/random sshpass -p randompassword ssh -t random@$server sudo -i 'useradd zenoss; sudo mkdir /home/zenoss/.ssh; sudo mv /home/random/authorized_keys /home/zenoss/.ssh/; sudo chmod 700 /home/zenoss/.ssh; sudo chmod 600 /home/zenoss/.ssh/authorized_keys; sudo chown -R zenoss /home/zenoss/.ssh; sudo chgrp -R zenoss /home/zenoss/.ssh; exit' 所以在没有SElinux的服务器上,脚本可以工作,然后Zenoss可以通过SSHlogin到远程服务器并开始监视。 但是,在启用了SELinux的系统上,脚本可以正常工作,但是Zenoss无法通过SSH连接到远程服务器,debugging信息显示它没有看到成功设置的authorized_keys文件。 OpenSSH_6.6.1, OpenSSL 1.0.1e-fips 11 Feb 2013 debug1: […]
我试图设置基于密钥的ssh访问Fedora 25框。 我已经在许多Ubuntu服务器上做了这个没有问题。 我得到Permission denied (gssapi-keyex,gssapi-with-mic,password). 这是我的build立过程: (服务器)创build/home/[user]/.ssh (本地)将key.pub复制到远程/home/[user]/.ssh/authorized_keys (服务器)chmod 700 /home/[user]/.ssh (服务器)chmod 600 /home/[user]/.ssh/authorized_keys (server)chown -R [user]:[user] /home/[user]/.ssh/ 我在详细模式下运行sshd。 但是,我无法解释输出。 我认为这是相关的一点: debug1: SELinux support enabled [preauth] debug1: ssh_selinux_change_context: setting context from 'unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023' to 'unconfined_u:unconfined_r:sshd_net_t:s0-s0:c0.c1023' [preauth] debug3: ssh_selinux_change_context: setcon unconfined_u:unconfined_r:sshd_net_t:s0-s0:c0.c1023 from unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 failed with Invalid argument [preauth] SELinux是我的问题吗? 其他地方我应该看看? 编辑 这里是一个链接要求的结果ssh -vvv: https ://gist.github.com/RogerCreasy/527d7520ce356074f4737ced51fb886d 而且,通过sshd_config链接到要点: […]
我的Web应用程序有一个上传文件夹: /disk2/app/uploads 。 ls -Z返回: drw-r–r–. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 uploads ls -Z /返回: drwxrwxrwx. root root system_u:object_r:file_t:s0 disk2 ls -Z /disk2返回: drwxr-xr-x. apache apache unconfined_u:object_r:file_t:s0 app 其中很多我从这里得到 当我在php中运行is_writable('/disk2/app/uploads') ,它返回false 我已经尝试了所有我能想到的可能性。 相关的审计日志: type=AVC msg=audit(1510944045.012:202923): avc: denied { getattr } for pid=14017 comm="httpd" path="/disk2/app/uploads/12222/206/1496103427-20170526_151922.jpg" dev=sdb ino=17826039 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:file_t:s0 tclass=file type=AVC msg=audit(1510944045.012:202924): avc: denied { write } for […]
我想学习和玩Slackware上的SELinux,我的发行版。 内核已经包含了SELinux代码,所以这不成问题。 Slackware不附带PAM,如果可能,我宁愿避免它。 这只是一个获得用户级工具,编译没有PAM支持的问题,还是有更多的呢?