我想用authorized_keys连接一个我为git创build的用户帐户/var/git 。 但是,SELinux通过以下AVC消息来防止这种情况发生 SELinux is preventing sshd(sshd_t) "read" var_t 我是新来的SELinuxpipe理,但我明白,这个消息指出sshd是不允许读/var下的任何东西。 我如何重新标记允许它访问/var/git ? (没有把sshd放在允许模式下) 我已经尝试将/var/git/.ssh/authorized_keys标记为sshd_key_t ,但这不起作用。 提前致谢!
我认为这是把这个,而不是在StackOverflow的正确的地方 无论哪种方式,我们有一个CentOS 6.6服务器。 SElinux不允许我们启用httpd_can_sendmail 我试过这个…. sudo setsebool -P httpd_can_sendmail on 我然后得到这个 /usr/sbin/getsebool httpd_can_sendmail httpd_can_sendmail –> off 我也试过这个 sudo setsebool -P httpd_can_sendmail 1 sudo setsebool -P httpd_can_sendmail true sudo setsebool -P httpd_can_sendmail on
我在默认configuration下安装了Apache,PHP和SELinux的最小CentOS系统: SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 29 如果我要更改Apache根目录,则必须重新标记此新目录,否则SELinux会阻止访问。 但是我发现,使用PHP脚本,可能比我想象的要多得多。 例如,我可以在没有任何警报的情况下执行以下操作: 读/etc/passwd , list /var/tmp , 显示内核版本, build立与外部主机的连接 但是,当我尝试读取/etc/shadow属性或尝试访问主目录时,我收到AVC警报。 首先,这是正常的吗? 如何调整SELinux来限制更多的PHP操作? 我使用CentOS 7,我的selinux-policy版本是3.13.1-23.el7_1.7。 (我也尝试与Fedora相同,并得到相同的结果)
我在CentOS 7中有一个systemd脚本,除非我禁用SELINUX,否则无法正常运行。 是否有可能以某种方式在系统上启用SELINUX,但仅对此systemd脚本禁用它? systemd脚本: [Unit] Description=Tractor Blade Service Wants=network.target network-online.target autofs.service After=network.target network-online.target autofs.service RequiresMountsFor=/101.102.103.104/pipeline/ [Service] Type=simple User=IRUser ExecStart=/opt/pixar/Tractor-2.1/bin/tractor-blade –debug –log /101.102.103.104/pipeline/logs/tractor/tractor-blade-%H.log –engine=111.222.333.444 –supersede –pidfile=/var/run/tractor-blade.pid [Install] WantedBy=multi-user.target
在我尝试使用虚假用户和iptables来执行此操作之前,需要执行需要限制的命令。 但是现在这些命令需要读取每个用户的环境variables设置,所以看起来这种方式不再有效。 操作系统是一个RedHat,似乎是唯一可靠的select是SELinux。 除了Web上的基本文档和教程,还没有关于configurationSElinux策略的最佳实践。 什么是推荐的方式来实现这个function?
我在CentOS 6上安装了opendkim,并在opendkim.confconfiguration文件中将TemporaryDirectory设置为/var/tmp 。 重新启动服务并尝试发送电子邮件后,我在后缀日志中读取错误 opendkim[27392]: F2C3E20509: dkim_eoh(): resource unavailable: can't create temporary file at /var/tmp/dkim.F2C3E20509.FiOvYB: Permission denied 所以,我查看了tmp文件夹( ls -l /var/ )的权限,他们是 drwxrwxrwt. 2 root root 4096 Nov 23 20:42 tmp 据我了解,任何人都应该能够写入/var/tmp文件夹。 为什么Permission denied错误消息?
我正在尝试使用带有rsyslogd的系统调用二进制文件的SELinux: # rsyslog configuration file module(load="omprog") template( name="snmp_template" type="string" string="%msg%\007" ) if ( $msg contains "SFCS_EVENT: " ) then action( type="omprog" binary="/usr/libexec/redacted/send_snmp" template="snmp_template" ) send_snmp程序使用从rsyslogdinheritance的typessyslog_t运行。 这是它需要运行的权限: audit2allow -a /var/log/audit/audit.log #============= syslogd_t ============== allow syslogd_t security_t:security compute_av; allow syslogd_t self:capability audit_write; allow syslogd_t self:netlink_selinux_socket { bind create }; allow syslogd_t self:passwd passwd; allow syslogd_t snmpd_var_lib_t:dir { […]
我正在使用RHEL 6.1,我想configurationSELinux授权httpd来读取某些文件夹中的所有文件(我的目标是通过Web访问使日志文件可用)。 这可能没有明确列出所有文件? 这可能没有禁用SELinux的httpd? 我需要可以持久的解决scheme。 感谢提前。
这个问题可能是个人意见的问题,但我想收集你的想法,在Web服务器上启用SELinux是多么的重要。 在你看来,增加的安全性是必须的还是很好的? 性能命中值得吗? 这是值得的麻烦? 你build议一个替代(例如:mod_security)? 我期待着听到大家的想法!
如果我从/创build一个新的文件系统/目录,并将Linux权限设置为770,我希望组能够读写该目录中的文件。 SELinux阻止我这样做,直到我将该目录上的SELinuxtypes更改为public_content_rw_t。 如果这只是该组中的用户将共享文件的目录,这是一个可接受的SELinuxtypes,还是应该使用另一个? 为了这些目的,编写一个定制的策略似乎是矫枉过正的。 谢谢