我正在设置一个CentOS 7服务器,其中/home目录必须位于另一个分区上,然后用bind-mount进行挂载。 所以: /data/homes /home应该绑定到/home 。 问题是确保SELinux上下文正确应用。 事实上,以下命令的结果是相互矛盾的: # Applies the rules for /home to all the files restorecon -R -v /home # Applies the generic rules (standard files) to all the files restorecon -R -v /data/homes 如果系统必须重新标记文件,这会造成问题。 为了解决这个问题,我通过复制/data/homes所有规则来修改策略文件/etc/selinux/targeted/contexts/files/file_contexts.homedirs : $ sed -n '/^\/home/p' /etc/selinux/targeted/contexts/files/file_contexts.homedirs \ | sed 's/^\/home/\/data\/homes/' \ >> /etc/selinux/targeted/contexts/files/file_contexts.homedirs 但是,当使用semodule -B重新构build策略时,我的更改将丢失。 我知道修改这些文件的build议方法是使用semanage […]
我有一个SELinux的问题! 我已经在Red Hat Enterprise 6上安装了带有AD组控制和SSL Cert的git。 一切工作正常,如果我做setenforce 0 (设置SELinux只在检测模式),或者如果我做semanage permissive -a httpd_t (设置httpd_t检测只模式) 我不想在我的git生产服务器上使用这个。 有没有人可以帮助我们与SELinux? 以下是您可能需要帮助我的一些信息: 我可以得到的所有帮助将会是: 这是ls -lZa / preproduction / git / repositories / ls -lZa /preproduction/git/repositories/ drwxr-xr-x. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 . drwxr-xr-x. apache apache unconfined_u:object_r:file_t:s0 .. drwxr-xr-x. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 playground drwxr-xr-x. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 shamrock.git drwxr-xr-x. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 test 这里是getsebool […]
我希望SELinux允许LogRotate守护进程轮换并压缩/var/log/audit/audit.log下的审计日志,但是会显示以下错误消息: Oct 27 04:06:03 setroubleshoot: SELinux is preventing /usr/sbin/logrotate "read" access on /var/log/audit. / var / log / audit目录的上下文是: drwxr-x—. root root system_u:object_r:auditd_log_t:s0 audit 有没有一个上下文,我可以给一个文件或目录,将使SELinux的行为就像它被closures? 我正在游泳的文件,我不会在一夜之间学习这个东西,所以我想实施一个工作,直到我能做到这一点。 任何推向正确的方向是受欢迎的。 编辑 :我也发现我所遇到的所有文件都不匹配我的CentOS 6服务器(即文件和configuration位置)上实际存在的文件。 有没有其他人有这个问题,没有一个“正确的”信息的好来源? 编辑2 – 我把它拿回来,他们在不同的部分有build设政策的指示。 http://www.centos.org/docs/5/html/Deployment_Guide-en-US/sec-sel-building-policy-module.html 最终编辑 :所以我的最终目标是尝试每天轮换审计日志,因为我每天发送一封电子邮件,发送任何新的SELinux警报,但是我一直收到相同的消息。 所以我试着创build一个新的logrotate规则来做这些日志,但是SELinux阻止了它。 事实certificate,审计有一个内置的旋转function,可以通过运行/sbin/service auditd rotate日志/sbin/service auditd rotate调用。 我可以简单地在日常的工作中设置。 我仍然认为SELinux的问题是有价值的,所以如果有人想回答这个问题,可能会帮助未来的谷歌
对于一个新的部门,我创build了一个新的挂载点/ dev / dev,在这里有两个目录:samba和svn,所以我们有: unconfined_u:object_r:samba_share_t:s0 /dept/dev/samba/* unconfined_u:object_r:svnserve_content_t:s0 /dept/dev/svn/* (/ dept和/ dept / dev也是“samba_share_t”,因为它是首先创build的) 桑巴工作正常,svn不: AVC avc: denied { search } for pid=7126 comm="svnserve" name="/" dev="sdb1" ino=512 scontext=system_u:system_r:svnserve_t:s0 tcontext=system_u:object_r:samba_share_t:s0 tclass=dir permissive=0 (我认为上面的'名字'是它试图search的目录?) 看来,因为较高的目录是samba_share_t,那下面的目录不能是svnserve_content_t? 如果这是正确的,我怎么能做到这一点? 我需要make / dept和/ dept / dev public_t吗?
我最近升级了我的Apache2服务器,现在无法运行CGI应用程序。 我的日志正在显示 (13)多次尝试后,权限被拒绝无法连接到cgi deamon 我明白,错误信息意味着Apache被拒绝某些文件的权限,而且我很难追究和解决问题。 错误消息中提到的文件是否真的是被阻止的文件? 或者可能是由其他一些需要的文件引起的问题? .cgi文件正好在/ usr / share下。 文件所有权(根)和权限(世界可读/可执行文件)与文件及其祖先始终保持一致。 SELinux文件标签不变。 SELinux审计日志显示没有与Apache或CGI程序相关的拒绝。 在donotaudit条件的情况下,我启用了审计,但仍然没有看到任何东西。 我简单地将SELinux切换到宽容模式,无济于事。 我甚至尝试在宽容模式下重新启动Apache。 这并没有解决问题。 有关如何解决这个问题的任何build议? 我试图恢复到旧的Apache。
我正在CentOS服务器上运行Samba,并且遇到了一个问题,它允许我连接到服务器并查看共享,但将该共享显示为空目录。 我觉得这个行为很奇怪。 以下是我的smb.conf文件中给出的份额: [seanm] path = /home/seanm writeable = yes valid users = seanm, root read only = No 这是我在服务器端看到的: [seanm@server ~]$ ls -l -rw-r–r– 1 seanm seanm 40 Jan 4 13:45 pangram.txt 但是: [seanm@client ~]$ smbclient //server/seanm -U seanm -W WORKGROUP Enter seanm's password: Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.33-3.29.el5_5.1] smb: \> ls . D 0 […]
出于某种原因,我不能su从根非root用户: [rilindo@kerberos ~]$ /bin/su – -bash: /bin/su: Permission denied 从/var/log/audit/audit.log运行输出或者返回: [root@kerberos tmp]# cat /tmp/audit type=AVC msg=audit(1319322088.937:68012): avc: denied { execute } for pid=9794 comm="bash" name="su" dev=dm-0 ino=1048659 scontext=user_u:user_r:user_t:s0 tcontext=system_u:object_r:su_exec_t:s0 tclass=file type=SYSCALL msg=audit(1319322088.937:68012): arch=c000003e syscall=59 success=no exit=-13 a0=26a7df0 a1=26c9b30 a2=269efa0 a3=18 items=0 ppid=8435 pid=9794 auid=500 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts0 ses=4454 comm="bash" […]
我尝试使用ProxyPass和ProxyPassReverse通过Apache将请求代理到另一个服务器实例,该另一个服务器实例绑定到Vhost所在的另一个TCP端口上的本地主机(VHost绑定到:80,目标绑定到5000时)。 但是,我在访问位置时反复接收HTTP 503。 根据ProxyPass文档 … <VirtualHost *:80> ServerName apacheserver.domain.local DocumentRoot /var/www/redmine/public ErrorLog logs/redmine_error <Directory /var/www/redmine/public> Allow from all Options -MultiViews Order allow,deny AllowOverride all </Directory> </VirtualHost> PassengerTempDir /tmp/passenger <Location /rhodecode> ProxyPass http://127.0.0.1:5000/rhodecode ProxyPassReverse http://127.0.0.1:5000/rhodecode SetEnvIf X-Url-Scheme https HTTPS=1 </Location> 我已经testing了将备用服务器绑定到接口IP地址,并发生同样的问题。 服务器服务请求是python粘贴的一个实例:httpserver,它已经被configuration为使用/ rhodecode后缀(正如我在其他关于ProxyPass的post中看到的那样)。 项目本身的文档 Rhodecode报告使用上述内容。 如果我将其他服务器作为另一个端口上的服务器,则此问题将持续存在。 ProxyPass允许代理到不同的TCP端口吗? [更新] 如果有人遇到同样的问题,我不会删除这个。 我已经设置了ErrorLog,并且在ErrorLog中报告了以下错误: [Wed Nov 09 11:36:35 2011] [error] […]
我开始将RHEL6configuration为一个强化的Tomcat服务器,并将SELinux策略应用于访问控制。 在安装RHEL6和Tomcat6(独立的,没有httpd)之后,我注意到Tomcat进程是作为unconfined_java_t运行的。 我如何将Tomcat限制在一个select的域名?
我正在遵循这个(基本的)安全指南来更改我的服务器的SSH端口。 它说: $ semanage port -a -t ssh_port_t -p tcp 2345 #Change me …将在端口2345之上添加一个新的标签,以表示这与SSH相关,并且SSH进程可以访问此端口。 什么错误的是,这是不会删除旧的端口22上的标签。 将旧标签留在原地更安全还是更安全? 我不知道端口的默认设置是在限制还是非限制的空间内,我认为这可能很重要。 如果我错了,请纠正我,但删除旧端口的命令是: # semanage port -d -p tcp 22