我有一个由其他人设置的CentOS 6.6服务器。 我将在一个新的盒子上从头开始重新创build这个服务器,我想知道是否有任何方法可以找出selinux布尔variables在现有的服务器上被修改了吗? Bash历史不可用。 从audit.log中获取这些信息可能是可能的,但是我不知道要查找什么。
我已经在一个启用了SELinux的Centos 7盒子上安装了PostgresQL,并且为了移动性的原因, 把它的默认数据目录改成了/ srv / postgres,一个单独的LUKSencryption的LVM卷组/逻辑卷,以防万一我不得不移动服务器保密性,数据媒体在移动时是否被偷窃或暴露。 我认为所涉及的LUKS / LVMfunction不应该影响我的问题,但出于完整性的原因提及它。 现在,当我启动postgresql服务: root@fafner:~ # systemctl start postgresql …我在/var/log/audit/audit.log中得到这个: root@fafner:~ # tail -f /var/log/audit/audit.log | grep "postgresql" [..] type=AVC msg=audit(1476614020.689:522): avc: denied { open } for pid=2900 comm="pg_ctl" path="/srv/postgres/data/postgresql.conf" dev="dm-4" ino=136 scontext=system_u:system_r:postgresql_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file type=SYSCALL msg=audit(1476614020.689:522): arch=c000003e syscall=2 success=no exit=-13 a0=7ffc681cc430 a1=0 a2=1b6 a3=24 items=1 ppid=1 pid=2900 auid=4294967295 […]
我对Redis实例有一个相当长期的问题。 当SELinux处于enforcing模式时, Redis服务器无法启动: [root@server ~]# service redis start Starting redis-server: [ OK ] 但事实上,它并没有像lsof所显示的那样开始。 它不返回结果: [root@server ~]# lsof -i :6379 为了进一步确认它没有运行,有一个redis日志: [5539] 21 Nov 03:44:34 # Opening port 6379: bind: Permission denied 现在,我对SELinuxpipe理非常新颖,请耐心等待,因为我可能错过了一些东西。 这是我所能看到的: [root@server ~]# semanage port -l | grep "redis" redis_port_t tcp 6379 [root@server ~]# semanage user -l SELinux User Prefix MCS Level […]
我configuration了SELinux: semanage login -a -s user_u mary setsebool user_exec_content off 一般configuration是 SELINUX=enforcing SELINUXTYPE=targeted 当我login到玛丽帐户,我仍然可以在她的帐户运行脚本,但setsebool(user_exec_content =closures)应该禁止这样做? 任何人都可以指向正确的方向吗?
出于懒惰,我想能够进入我的WWW目录的FTP。 但是,对于apache(user_u:object_r:httpd_sys_content_t)来说,能够使用WWW目录和用户(system_u:object_r:user_home_dir_t)来使用WWW目录的SELinux权限是不同的。 无论如何,围绕这个问题,而不禁用SELinux? 谢谢。
我是一个Ubuntu / Debian的人,但是我在安装Ubuntu软件的时候遇到了麻烦,所以我去了CentOS 5.6。 我还在一家小型networking开发公司,我们需要通过samba / smb共享我们的testing服务器的html / httpd文件,但也允许apache来承载它们。 所以我想知道如果我可以将我们的文件设置为桑巴和httpdtypes? 就像是, /usr/sbin/semanage fcontext -a -t samba_share_t,httpd_sys_content_t "/var/www/html(/.*)?" 否则,我将不得不把SELinux变成宽容模式,这不是我想要做的。
我是新来的SELinux,并试图添加一个新的安全上下文(标签)来testing拒绝。 为此,我尝试将filew更改为新的上下文: chcon -t new_t test 但是它以“无效的参数”失败。 如何添加新types“new_t”?
我最近发现selinux是disabled ,但configuration文件说selinux enforcing模式设置。 我读了关于为什么selinux被禁用的可能性。 我怀疑内核。 但是我找不到我该怎么做来解决这个问题。 由于系统正在远程运行,所以我不敢碰任何东西。 我和系统之间的连接只是安全的shell。 服务器和我之间有几个大陆。 所以,我需要解决这个问题,而不使服务器无法访问:)我应该遵循什么步骤? 有关服务器的信息 Centos 6.5 Linux 2.6.32-042stab068.8 #1 SMP Fri Dec 7 17:06:14 MSK 2012 i686 i686 i386 GNU/Linux 服务器运行在VPS上,如此奇怪地configuration。 我甚至没有检测到引导加载程序中安装了哪个引导加载程序来检查selinuxconfiguration。 分区(根据mtab): /dev/simfs / simfs rw,relatime 0 0 proc /proc proc rw,relatime 0 0 sysfs /sys sysfs rw,relatime 0 0 none /dev devtmpfs rw,relatime,mode=755 0 0 none […]
我正在尝试在RHEL 7.3上configurationvsftpd 3.0.2。 我试图设置我的setsebool -P ftp_home_dir=1以使用户能够访问他们的主目录。 但是我收到: Boolean ftp_home_dir is not defined 这在查看semanage boolean -l时被确认semanage boolean -l没有ftp_home_dir 。 第14,15和16 vsftpd.conf检查这个布尔值。 # Uncomment this to allow local users to log in. # When SELinux is enforcing check for SE bool ftp_home_dir local_enable=YES /data/ftp/pub/some-dir/ftpuser1…etc [root@xxxxx ftp]# ls -lZ drwxr-xr-x. root root unconfined_u:object_r:etc_runtime_t:s0 pub 我可以相信,在解决这个问题的时候,它也会解决我的问题,这是一个完全不同的问题。 提前致谢! 信息: Red […]
我有两个CentOS主机。 第一个是NAS,第二个是无盘SMB服务器。 NAS服务器通过NFS共享文件夹,并与SMB服务器进行安全的以太网连接。 中小企业服务器共享内容到内联网,WiFi等 当我运行这个命令时,我遇到了一些麻烦: [root@smbserver ~]# chcon -t samba_share_t /mnt/distr/ chcon: failed to change context of `/mnt/distr/' to `system_u:object_r:samba_share_t:s0': Operation not supported 我试图用/ etc / fstab中的选项挂载这个共享: nasserver:/mnt/distr /mnt/distr nfs context="system_u:object_r:samba_share_t:s0" 0 0 但是这也没有帮助。 有没有办法通过SMB共享通过NFS安装的文件系统而不禁用SElinux?