我正在查看我的selinux警报日志文件,并运行多个条目标记 **** Invalid AVC allowed in current policy *** 我明白,这表示一个问题( 阅读或getattr等),我看到哪些进程造成的,但我不明白的标签。 什么是无效的AVC ? 怎么可能呢?
我在我的centos 6“安装服务器”上安装并configuration了Cobbler。 从我认为我做的所有configuration我应该。 安装是用我自己定制的python脚本执行的,可以在这里find。 但基本上它是import,回购添加,configuration文件添加,reposync和其他标准命令。 在安装过程中,SELinux处于宽容模式,并在/var/log/audit/audit.log中添加了大量内容。 安装之后,我执行了下面的命令来生成SELinux规则。 cat /var/log/audit/audit.log | audit2allow -m sycocobbler 哪给了我 module sycocobbler 1.0; require { type semanage_store_t; type syslogd_t; type sysfs_t; type var_lock_t; type rpm_var_cache_t; type httpd_sys_content_t; type proc_net_t; type file_context_t; type semanage_read_lock_t; type lib_t; type sysctl_modprobe_t; type security_t; type cobblerd_t; type modules_conf_t; type rpm_var_lib_t; type tftpdir_rw_t; type modules_dep_t; type devlog_t; […]
运行Arch Linux我试图让Apache使用/ www(不是/ var / www)作为DocumentRoot。 / www是到/ home / user / www的软链接。 但是,我不断收到“访问禁止”的错误。 /和/home文件夹是不同分区的一部分。 这可能是问题吗? 我已经排除了一个问题: CHMOD权限问题。 所有目录都有777个,由Apache拥有。 符号链接也是如此。 FollowSymLinks选项工作正常。 如果我链接/ www到/ srv / http它确实工作。 只有当我指向它停止工作的/ home /文件夹。 Apache错误日志中的确切错误是: [Sun Oct 23 09:52:24 2011] [error] [client 127.0.0.1] Symbolic link not allowed or link target not accessible: /www 我用strace来看看是否会提供一些有用的东西,但没有提供任何线索。 任何人有任何想法? 如果问题确实是符号链接指向另一个分区上的文件夹,是否有一些解决方法?
我有一个运行在CentOS服务器上的Zend Web应用程序,SELinux以宽松模式运行(即访问控制决策logging在/var/log/audit/audit.log但不是强制执行的)。 该应用程序允许用户上传文件,这些文件保存在htdocs之外的目录结构中(例如/var/acme/myapp/files )。 应用程序需要编写和删除该目录中的文件,以及在该目录下创build,修改和删除目录。 FWIW,httpd以root身份启动,然后以独立用户apache身份产生进程。 我想将SELinux置于强制模式,但仍然严格地允许Zend应用程序执行上述的IO操作。 我也希望这些SELinux设置在重新启动后保留。 我该怎么做呢?
我有一台运行Fedora 15的服务器。我的最终目标是能够通过随机端口号(通过iptables规则指定)转发任何协议。现在,我想暂时将端口12345转发到一个web服务器里面networking。 我们会说这个networking服务器是192.168.0.10:80。 添加规则到iptables打开端口如下所示: -Ainput-m状态 – 状态新-m tcp -p tcp –dport 12345 -j ACCEPT 我重新启动iptables,然后运行: nmap -p 12000-13000本地主机 nmap不显示该端口是打开/closures的。 然后我用如下的semanage定义端口: semanage port -a -t http_port_t -p tcp 12345 nmap仍然看不到端口。 如果我然后完全禁用selinux,nmap显示端口为“closures”。 我似乎无法find打开端口的方法。 我已经在网上search了好几天了,但是我一直无法解决这个问题。 我可以提供任何你想要的其他configuration数据。 有什么build议么? 编辑:添加iptables -L -n -v输出iptables -L -n -v : Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt […]
可能重复: 权限在vhost文档根目录中被拒绝 Apache不能处理我的文件,由于禁止错误,search导致可能是因为selinux,我怎么能改变特定文件的selinux策略? 这是Centos 6.x
为什么我必须使用mod_proxy来执行setenforce 0在Scientific Linux上对tomcat进行集群 我正在使用Scientific Linux版本6.2,并尝试使用httpd和tomcat来获得mod_proxy。 我想有两个tomcat节点在框中运行,所以我需要将第二个tomcat节点ajp端口更改为diff,然后像8009那样的8109,但是一旦我在Scientific Linux上更改了端口,它就会停止工作,但是我发现如果我一个 setenforce 0 它的作品呢。 有人可以告诉我,我在做什么,如果有人知道更好的是什么让科学Linux上的tomcat节点没有做setenforce 0 谢谢
在强制模式下,我在RHEL6上使用SElinux进行后缀设置。 除非我离开强制模式,否则我所有试图合并opendkim的尝试都会失败。 我在SElinux执行时遇到的错误: Jan 25 09:57:25 <mail.warning> katniss postfix/cleanup[16571]: warning: cannot receive milters via service cleanup socket socket Jan 25 09:57:25 <mail.crit> katniss postfix/cleanup[16571]: fatal: cleanup_milter_receive: milter receive failed Jan 25 09:57:26 <mail.warning> katniss postfix/smtpd[16567]: warning: cannot send milters to service public/cleanup socket Jan 25 09:57:26 <mail.warning> katniss postfix/master[16559]: warning: process /usr/libexec/postfix/cleanup pid 16571 exit […]
我正在运行Ubuntu和Apache服务器。 我想尝试nodejs,我想通过Apache上的虚拟主机来运行它。 我阅读这篇文章,并试图按照说明: http : //thatextramile.be/blog/2012/01/hosting-a-node-js-site-through-apache 我设置了一切,但是Apache抛出了500错误,这似乎是这样的情况: 设置一个基本的mod_proxy虚拟主机 我试着运行这个命令: sudo /usr/sbin/setsebool -P httpd_can_network_connect 1 为了得到这个命令的工作,我不得不安装: sudo apt-get install policycoreutils 但是当我尝试命令时,我得到这个错误消息: setsebool: SELinux is disabled. 我所要做的就是能够将请求转发到nodejs.mydomain.com到端口8000上运行的nodejs守护进程。 如何启用setsebool ,或者有另外一种方法可以使nodejs和运行在80端口上的Apache服务器和平共处?
我在过去的2天努力,请帮助我的人… [root@mail /]# setup-kolab Please supply a password for the LDAP administrator user 'admin', used to login to the graphical console of 389 Directory server. Administrator password [Password]: Confirm Administrator password: Please supply a password for the LDAP Directory Manager user, which is the administrator user you will be using to at least initially log […]