Articles of selinux

Icinga2通过NRPE监控同一局域网中的几台虚拟机。 [机器A] CentOS 6 Icinga2。 [机器B] CentOS 6 MariaDB v10.1.12正常运行 Datatir和套接字设置在my.cnf中： datadir=/database/mariadb socket=/database/mariadb/mysql.sock 还有以下符号链接： /var/lib/mysql -> /database/mariadb 所有者：上面所有的组是mysql：mysql。 启用S​​ELinux / usr / lib64 / nagios / plugins / check_mysql v2.0.3 具有以下安全上下文： -rwxr-xr-x. root root system_u:object_r:nagios_services_plugin_exec_t:s0 /usr/lib64/nagios/plugins/check_mysql nrpe.cfg包含以下行： command[check_mysql]=/usr/lib64/nagios/plugins/check_mysql -H localhost -u xxx -p xxx -P 3306 现在的问题是： Icinga（来自机器A）报告： "Can't connect to local MySQL server through […]

我试图检查，如果我的selinux是禁用/启用，找不到它的configuration文件，为什么它那样，我应该怎么做，以禁用它。

我正在尝试在Centos 7上安装OpenVPN服务器，并面临下一个问题： [root@msk ~]# /etc/init.d/openvpn start Starting openvpn (via systemctl): [ OK ] [root@msk ~]# ps aux | grep openvpn root 5639 0.0 0.0 112640 980 pts/6 S+ 12:54 0:00 grep –color=auto openvpn [root@msk ~]# service openvpn start Starting openvpn (via systemctl): [ OK ] [root@msk ~]# ps aux | grep openvpn root 5657 0.0 […]

是否有任何特殊的步骤，应该采取保护画廊 ？ 具体来说，我目前已经安装了Fedora RPM gallery2-2.3-1.fc8 。 我在目标模式下启用了selinux ，这是一个很好的保护层。 我find了Gallery 安全文档 。 我只是想知道还有什么我应该看看，以确保这是安全的，防止外部攻击。 我对本地攻击的担心远不如以前。 我只是想确保公开的互联网不会让我的服务器被黑客攻击。

在Fedora中，你如何configurationSelinux为PHP系统或exec函数运行的任意可执行文件提供权限？ closuresSELinux不是我的select。 $ getsebool -a | grep httpd allow_httpd_anon_write –> off allow_httpd_mod_auth_ntlm_winbind –> off allow_httpd_mod_auth_pam –> off allow_httpd_sys_script_anon_write –> off httpd_builtin_scripting –> on httpd_can_check_spam –> off httpd_can_network_connect –> off httpd_can_network_connect_cobbler –> off httpd_can_network_connect_db –> off httpd_can_network_memcache –> off httpd_can_network_relay –> off httpd_can_sendmail –> off httpd_dbus_avahi –> off httpd_enable_cgi –> on httpd_enable_ftp_server –> off httpd_enable_homedirs –> […]

我一直试图在全新安装的CentOS 6.0 Linux服务器上添加2个PHP扩展，但在/ var / log / httpd / error_log中获取错误消息： [notice] SELinux policy enabled; httpd running as context unconfined_u:system_r:httpd_t:s0 PHP Warning: PHP Startup: Unable to load dynamic library '/usr/lib64/php/modules/gdchart.so' – /usr/lib64/php/modules/gdchart.so: undefined symbol: php_gd_gdFontMediumBold in Unknown on line 0 PHP Warning: PHP Startup: Unable to load dynamic library '/usr/lib64/php/modules/oci8.so' – libnnz11.so: cannot enable executable stack […]

Fedora文档的一个页面描述了一个SELinux上下文的例子： “…而不是使用/ var / www / html /作为网站，pipe理员希望使用/ srv / myweb / … [但是] SELinux阻止Apache HTTP Server（httpd）访问[错误标记的文件和目录]“ 正如任何遇到SELinux问题的人都知道的那样，SELinux对错误信息没有帮助。 find正确的上下文的一种方法是使用matchpathcon （从下一页开始） matchpathcon命令检查文件path的上下文，并将其与该path的默认标签进行比较。 以下示例演示如何在包含错误标记的文件的目录上使用matchpathcon： $ / usr / sbin / matchpathcon -V / var / www / html / * / **编辑 ：根据要求，使用httpd的示例上下文， matchpathcon将公共www目录内容的用户，angular色和types报告为： [root@mrwizard ~]# /usr/sbin/matchpathcon /var/www/html/* /var/www/html/info.php system_u:object_r:httpd_sys_content_t:s0 如果– 这只是一个说明，而不是正确使用这个命令 –你在httpd的二进制文件上执行相同的命令，你会发现这个types不是httpd内容types，而是httpd执行types，我猜，SysV（在CentOS6上）用来启动httpd： [root @ mrwizard〜]＃/ usr […]

我有一个在Windows 7上运行VMWare的Fedora 12客户端，我主要用于偶尔的Linux开发。 每当我重新启动客人，networking工作正常。 但是，如果closuresVMware播放器并保存状态，则下次启动映像时，将禁用networking（networking图标上显示红色的x消息，表示networking已禁用）。 我似乎无法find恢复networking的方法。 我必须重新启动客人，以再次访问我的networking访问。 我的Ubuntu映像没有这个问题。 我可以closures播放器，当我重新运行映像时，我可以从离开的位置拿起所有打开的Firefox窗口和应用程序窗口。 Fedora保存状态，但似乎没有启用networking。 我看到有一个相关的警告“SELinux正在阻止/ sbin / ifconfig”读取“/ var / run / vmware-active-nics”的访问权限。 但我不知道如何解决它。 我知道Fedora没有得到VMware的正式支持，但似乎大部分工作正常，满足我的需求，除了这个小问题。 任何帮助将非常感激。

这是否意味着我的系统上启用了selinux？ 在/ etc / sysconfig / selinux中，我设置了： SELINUX=disabled 然后重新启动服务器，但仍然在phpinfo（）同样的事情正在显示！ 我如何永久禁用它？ （没有反对selinux，但我有需要执行其他程序的脚本 – 看来selinux正在干涉他们… 需要什么权限才能运行一个php脚本中的系统（）命令写入文件夹？ ） 编辑1： 如果有帮助的话，我也是这么做的：/ etc / selinux / config

我正在使用新安装的CentOS 5.7 Linux 64位与PGDG软件包： # rpm -qa|grep -i PG postgresql-libs-8.4.8-2PGDG.rhel5 pgdg-centos-8.4-2 postgresql-8.4.8-2PGDG.rhel5 pgbouncer-1.3.4-1.rhel5 postgresql-server-8.4.8-2PGDG.rhel5 并在/var/log/audit/audit.log中获取以下Apache错误 type=AVC msg=audit(1316700316.235:41): avc: denied { write } for pid=2748 comm="httpd" name=".s.PGSQL.6432" dev=sda1 ino=754350 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=sock_file type=SYSCALL msg=audit(1316700316.235:41): arch=c000003e syscall=42 success=no exit=-13 a0=c a1=2b712748bee0 a2=6e a3=0 items=0 ppid=2721 pid=2748 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 […]