在RHEL5上,我有一个小型的MySQL数据库,它必须写入临时文件。 为了加速这个过程,我想通过把下面一行放到my.cnf中来把临时目录移动到/ dev / shm: tmpdir=/dev/shm/mysqltmp 我可以创build/ dev / shm / mysqltmp就好了 chown mysql:mysql /dev/shm/mysqltmp chcon –reference /tmp/ /dev/shm/mysqltmp 我已经尝试通过应用与/ tmp /(和/ var / tmp /)相同的设置来使SELinux高兴,这大概是在tmpdir未定义的情况下,MySQL正在写入其tmp文件的位置。 问题是,SELinux抱怨MySQL有权访问该目录。 我在/ var / log / messages中得到以下内容: SELinux is preventing mysqld (mysqld_t) "getattr" to /dev/shm (tmpfs_t). SELinux是一个坚强的女主人。 细节: Source Context root:system_r:mysqld_t Target Context system_u:object_r:tmpfs_t Target Objects /dev/shm [ dir […]
我想通过SELinux(目标策略)来保护RedHat 5.4应用程序服务器,并且有几个问题 1,我在哪里可以得到SELinux资源(/ etc / selinux / src / policy /)安装光盘上似乎没有这样的软件包.. 2,如何限制用户权限(例如用户jboss无法修改/etc/my.cnf) 3,如何configurationJBoss应用服务器在SELinux下工作 虽然我从NSA读了很多文档,但是对于我来说,目前还不清楚。我想要的是基本上保护文件系统,以防止一个帐户被破坏。我找不到任何有关使用chroot jail,ACL或SELinux保护jboss服务器的材料。 …
在RHEL和CentOS服务器上,当selinux-policy-* RPM软件包接收到更新时,是否总是需要手动重新加载我构build的任何自定义模块? 当我看到selinux-policy-*的更新时,我总是手动重新加载任何模块。 semodule -i /root/selinux/*.pp 如果他们必须总是手动重新加载,是否有一个首选的方法来做到这一点?
我正在使用OpenVZ为几个网站运行服务器。 HN除了sshd外没有任何内容。 用于Varnish的VM,用于MySQL的VM和用于一个网站(运行Apache / PHP)的几个VM。 现在我想确保这个服务器,主要是来自networking攻击(我认为)。 我该做什么? 我看到我不应该在HN安装Selinux。 CSF的安装看起来很复杂(需要一些iptables规则的优化)。 谢谢,
curl http://example.com 数据检索正常 sudo -u apache curl http://example.com 20秒后 curl: (7) couldn't connect to host 什么会造成这种情况,我该如何改变它? 我正在运行一些代码作为Apache(主要是由于文件权限),该代码需要能够连接到另一台服务器。 基于另一个问题( 阻止传出连接的证书uid(root,apache,nobody) )我想也许答案是在/ etc / iptables中,但该文件不使用-m owner: # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state –state NEW […]
我有一个名为index.cgi的CGI脚本 它正在尝试读取名为10.128.0.242.2012.sep.20.downloaded.txt的日志文件,path为/var/log/trafcount/ 看来它被selinux阻塞了。 审计日志显示类似 avc:denied {read} for pid = 11620 comm =“index.cgi”name =“10.128.0.242.2012.sep.20.downloaded.txt”dev = dm- 0 ino = 395264 scontext = unconfined_u:system_r:httpd_sys_script_t:s0 tcontext = unconfined_u:object_r:var_log_t:s0 tclass = file 我怎样才能让这个脚本完全访问/ var / log / trafcount下的所有文件?
在550天的令人印象深刻的正常运行时间没有麻烦之后,我从一个FreeNAS-box上挂载了一个nfs-share几天后,我们的四路opteron系统变成了一个损坏的系统。 正在进行的会话保持活动,但新的login失败,因为既没有获得一个shell或chroot的工作(鉴别工作,正如我在/ var / log / secure中看到的那样 – 把login过程在之后简化了)。 / var / log / messages指向安装写入进程的写入写入过程: BUG: soft lockup – CPU#38 stuck for 61s! [maq:27850] Modules linked in: nfs lockd fscache nfs_acl auth_rpcgss sunrpc sit tunnel4 tun fuse autofs4 cpu freq_ondemand powernow_k8 freq_table ipt_REJECT nf_conntrack_ipv4 nf_defra g_ipv4 iptable_filter ip_tables ip6t_REJECT nf_conntrack_ipv6 xt_state nf_conntrack ip6table_filter ip6_tables ipv6 […]
我有一个使用SELinux Enforcing的Centos 6.3上的ProFTPd服务器。 我的用户是平面文件中的虚拟用户。 用户被chrooted到通过NFS安装的目录。 我已经设定了以下政策: /usr/sbin/semanage boolean -m –on allow_ftpd_use_nfs /usr/sbin/semanage boolean -m –on allow_ftpd_anon_write 用户可以读写文件没有问题。 但是,他们不能创build目录。 我在audit.log中得到这个: type=AVC msg=audit(1364763704.972:25268): avc: denied { create } for pid=2971 comm="proftpd" name="test4" scontext=system_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=system_u:object_r:nfs_t:s0 tclass=dir 有没有保持SELinux,但允许创build目录?
首先,我的设置。 我使用的是CentOS 6.4,我从EPEL版本库中安装了pure-ftpd(加上SELinux模块): > rpm -q pure-ftpd pure-ftpd-selinux pure-ftpd-1.0.30-1.el6.x86_64 pure-ftpd-selinux-1.0.30-1.el6.x86_64 在努力使SELinux正常工作之后,我尝试了一下setsebool : allow_ftpd_full_access –> on ftp_home_dir –> on ftpd_use_passive_mode –> on 运行pure-ftpd的上下文(以root.root ): system_u:system_r:ftpd_t:s0-s0:c0.c1023 25196 ? Ss 0:00 pure-ftpd (SERVER) 现在,这个问题。 由于某些未知的原因,SELinux拒绝login尝试而不logging/var/log/audit/audit.log 。 pure-ftpdlogging这个(在-d -d模式下): Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [INFO] New connection from <my_ip> Jul 10 17:53:39 <hostname> pure-ftpd: (?@<my_ip>) [DEBUG] 220———- Welcome […]
我不能让vsftpd工作,这让我疯狂。 虚拟用户可以连接,但不能上传文件或创build文件夹。 我希望有一个人可以帮助我。 我在ftp客户端得到这个错误: 553 Could not create file 这是/ var / log / messages中的错误 Jul 11 12:51:41 appserver kernel: type=1400 audit(1373557901.832:17): avc: denied { write } for pid=3705 comm="vsftpd" name="usr00" dev=dm-0 ino=2097155 scontext=unconfined_u:system_r:ftpd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:default_t:s0 tclass=dir 这是我的vsftpd.conf: pasv_enable=NO pam_service_name=vsftpd listen=YES anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 nopriv_user=vsftpd virtual_use_local_privs=YES guest_enable=YES user_sub_token=$USER local_root=/ftp/$USER chroot_local_user=YES hide_ids=YES guest_username=vsftpd 这是我的selinuxconfiguration: allow_ftpd_anon_write –> […]