在我的一台服务器上,我观察到SSL密码有以下问题:有些证书没有要求input密码,有些则不断要求input密码。 我已经在全球build立起来了: SSLPassPhraseDialog exec:/path/to/passphrase 但是当我重新启动apache ,它要求我在几个使用相同通配符证书的域上使用密码。 任何想法可能导致这个? 检查我运行的密码 (openssl x509 -noout -modulus -in server.pem | openssl md5 ; openssl rsa -noout -modulus -in server.key | openssl md5) | uniq 我得到一个散列,这意味着他们匹配,密码相同 [Wed Mar 05 17:13:23 2014] [error] Init: Pass phrase incorrect [Wed Mar 05 17:13:23 2014] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag [Wed […]
我正在使用CentOS,NGINX和Passenger来服务Rails应用程序。 我有SELinux激活,并有一系列与logrotate的问题。 我已经能够通过在线提供各种build议来解决大部分问题。 不幸的是,logrotate没有成功的旋转我的NGINX日志文件。 NGINX安装在/ opt / nginx中 这是我的logrotateconfiguration文件: /opt/nginx/logs/*log { daily rotate 30 missingok notifempty sharedscripts delaycompress postrotate [ ! -f /opt/nginx/logs/nginx.pid ] || kill -USR1 `cat /opt/nginx/logs/nginx.pid` endscript } 这些是我在/ var / log / messages中收到的消息 Mar 9 03:49:14 localhost setroubleshoot: SELinux is preventing /usr/sbin/logrotate from rename access on the file logrotate_temp.RTg4y3. For complete […]
我是新来的服务器和iptables。 我有一个运行在我的Centos 6.7 apache / httpd服务器上的web应用程序(碰巧是bugzilla),它试图通过端口80连接到web(updates.bugzilla.org)。它也试图连接出(到smtp .gmail.com)使用端口465.但是,它不能。 尽pipe有一个默认的ACCEPT输出策略,并且已经打开了相关的input端口。 我不确定该从哪里出发。 我应该在哪里开始解决这个问题? 有什么可能的罪魁祸首? 一些输出: $ service iptables status 表格:filter 连锁input(政策接受) 目标人数目标来源目的地 1全部接受 – 0.0.0.0/0 0.0.0.0/0 2 ACCEPT all – 0.0.0.0/0 0.0.0.0/0状态RELATED,ESTABLISHED 3 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 4 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 5 ACCEPT tcp – 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 6 ACCEPT […]
我有一个偷偷摸摸的怀疑,它与我的rsyslog.conf有关,但我不是100%确定的。 我正在运行Centos 7,而SELinux一直在运行A-OK。 不过,我试图按照这些说明 ,SELinux并没有否认。 我做了以下几点: useradd fnord echo "fnord:user_u:s0-s0:c0.c1023" >> /etc/selinux/targeted/seusers setsebool user_exec_content off sudo su – fnord cp /bin/ls /tmp /tmp/ls /tmp/ls命令工作得很好。 我尝试了和没有-P标志,但它没有任何区别。 我试图触发一些SELinux日志消息,因为无论我做什么,/ /var/audit/audit.log都是空的。 我知道SELinux是强制执行的,因为rsyslog被设置为将某些日志发送到/company/var/log/ ,但这些日志不会被写入。 如果我将SELinux更改为宽容,而不是强制它们被写入。 但是没有东西写到/var/audit/audit.log了。 它绝对用于 – 我有audit.log.1和其他翻转文件。 我最初以为它可能是/etc/rsyslog.d/listen.conf ,我已经将$SystemLogSocketName /run/systemd/journal/syslog的内容更改为$SystemLogSocketName /dev/log但我已经将其更改回重新启动rsyslog。 在audit.log仍然没有任何显示。 我怎么能发现为什么这不logging正确?
我有一个Docker容器应该读取日志,包括主机本身的日志。 所以我使用z标志挂载卷/var/log 。 这改变了/var/log里面的文件的SELinux上下文,这阻止了我通常的进程访问这些文件,最终的结果是我无法在本地login: kernel:type = 1400 audit(14958482):avc:denied {open} for pid = 12345 comm =“agetty”name =“/ var / log / wtmp”dev =“dm-6”ino = 134 scontext = system_u:system_r :getty_t:s0-s0:c0.c1023 tcontext = system_u:object_r:svirt_sandbox_file_t:s0 tclass = file 这里最好的做法是什么? closuresSELinux,而它摆脱了这个问题,是不是一个选项。
我是一个使用CentOS 7,nginix和php-fpm的服务器的新pipe理员。 有一个Web表单需要读取本地文件(prod.pem),然后build立一个出站连接: gateway.push.apple.com:2195 gateway.sandbox.push.apple.com:2195 在audit.log中,我看到以下两个条目: type=AVC msg=audit(1465918007.693:406): avc: denied { read } for pid=1796 comm="php-fpm" name="prod.pem" dev="dm-0" ino=19554 type=SYSCALL msg=audit(1465918007.693:406): arch=c000003e syscall=2 success=no exit=-13 a0=7fff2ee13570 a1=0 a2=1b6 a3=24 items=0 ppid=1213 pid=1796 auid=4294967295 uid=997 gid=996 euid=997 suid=997 fsuid=997 egid=996 sgid=996 fsgid=996 tty=(none) ses=4294967295 comm="php-fpm" exe="/usr/sbin/php-fpm" subj=system_u:system_r:httpd_t:s0 key=(null) 我的/etc/selinux/config : SELINUX=enforcing SELINUXTYPE=targeted 我如何configurationSELinux以允许读取文件并进行出站连接? 我也想确保这些在重新启动时保留。
我试图按照这个教程 https://www.rosehosting.com/blog/how-to-install-and-integrate-spamassassin-with-postfix-on-a-centos-6-vps/ 但Spamassassin正在给出一个错误 [root@ip-172-99-99-99 ~]# service spamassassin restart Stopping spamd: [ OK ] Starting spamd: Jan 4 21:17:10.569 [22463] warn: logger: failed to open file /usr/local/spamassassin/spamfilter.log: Permission denied Jan 4 21:17:10.587 [22463] warn: logger: failed to add file method: logger: file initialization failed [ OK ] 即使它有权限! [root@ip-172-99-99-99 ~]# ls -ld /usr/local/spamassassin /usr/local/spamassassin/* drwx——. 2 […]
我在configurationSELinux时无法发送邮件。 阅读SELinux文档我发现我可以通过semanage命令pipe理端口,但semanage命令。 有没有另一种方式来pipe理使用SELinux端口,或者我find这个命令的方式? 最坏的情况:有没有办法禁用SELinux,或者切换到宽容模式而不重启? 我正在运行Fedora。 谢谢!
我最近遇到了一些问题,最近由于SELinux部署了使用mod_wsgi的Django。 世界通常会得到“权限被拒绝”的错误(403)。 这是通过禁用SELinux解决的。 在启用SELinux的情况下有没有办法使用mod_wsgi? 现在,如果我要将我的djcode文件夹移动到/ usr / local /这将工作,但如果djcode文件夹存储在/ usr / local / src / djcode,它会再次给我这个错误。 Cannot load /etc/httpd/modules/mod_wsgi.so into server: /etc/httpd/modules/mod_wsgi.so: cannot restore segment prot after reloc: Permission denied 我看了一些日志,它说: SElinux is preventing the httpd from using potentially mislabel files ./src (src_1) 那么我怎样才能让httpd使用src文件夹呢?
我想将我的数据库放在另一个目录中,所以我可以将它们与我的Web应用程序和其他持久数据一起存储在ESB(弹性块存储,只是虚拟硬盘的一个奇特名称)中。 我试图通过http://crashmag.net/change-the-default-mysql-data-directory-with-selinux-enabled上的教程。 一切似乎很好,直到我input此命令: # semanage fcontext -a -t mysqld_db_t "/srv/mysql(/.*)?" 然后命令失败,告诉我mysqld_db_t是一个无效的SELinux上下文,即使默认的MySQL数据目录被标记了这个上下文。 我在Virtualbox上运行Fedora 15(performance得像普通的x86兼容盒子)和Amazon EC2(基于Xen),所以教程应该兼容。 另外值得一提的是,全局closuresSELinux或仅仅closuresMySQL进程不是一个select,因为如果黑客通过MySQL服务器访问系统,这样的解决scheme会降低系统的安全性。 在更改到Redhat / Fedora体系结构之前,我从来没有见过这个问题,所以它可能是一个特定于分发的问题。 任何帮助,高度赞赏