服务器 Gind.cn

Articles of selinux

SELinux:让Apache在CentOS上与MySQL交谈

所以我把MySQL连接到/ opt / chroot / mysql,并且一切正常。 Apacheconfiguration正常,也运行良好。 我创build了一个连接到MySQL Daemon的小PHP脚本,并configuration了PHP,以便使用的默认套接字是chroot。 当SELinux被禁用时,脚本能够正常连接。 但是,启用SELinux时,脚本无法连接(错误号为13),审计日志告诉我SELinux拒绝了请求。 我发现每个教程都解决了这个问题,告诉我禁用SELinux。 这不是我想要做的,所以请不要提示! 我想要一个解决scheme,同时启用SELinux …我假设一个必须存在… 我想我可能不得不改变mysql文件的SELinux上下文,但我不知道如何改变它们,使其工作。

我如何查询所有影响types的selinux规则/默认文件上下文/ etc

我需要知道与正在运行的系统当前规则的selinuxtypes相关的所有内容: allowaudit,dontaudit规则。 使用types标记上下文的文件。 过渡。 …和其他任何信息。 有没有我可以用来查询这些信息的命令,或者我应该下载所有与selinux相关的“src”软件包,过滤掉那些没有使用的模块,并且grep每个文件的信息? 必须有一个更简单的方法来做到这一点。

SELinux:如何撤消/恢复semanage permissive -a httpd_t?

我暂时跑这个: semanage permissive -a httpd_t 要debugging一个域的进程types的问题,我有,但现在我似乎无法撤消它。 我试图将“宽容”与“强制”交换,但答复是: idiot, RTFM 不,我在开玩笑,实际的回应是: usage: semanage [-h] {import,export,login,user,port,interface,module,node,fcontext,boolean,permissive,dontaudit} … semanage: error: argument subcommand: invalid choice: 'enforcing' (choose from 'import', 'export', 'login', 'user', 'port', 'interface', 'module', 'node', 'fcontext', 'boolean', 'permissive', 'dontaudit') 所以…这些使用选项都不是我期待的。 如果我只想要在/ etc / selinux / config中设置的任何用法选项,我应该使用什么选项来进行评估? 谢谢。

SELinux阻止在RHEL6上运行Nagios插件

在安装Nagios NRPE和Nagios插件后,我在我的rsyslog中获得以下条目: May 13 14:01:30 wcmisdlin02 kernel: type=1400 audit(1305309690.482:2334): avc: denied { getattr } for pid=3835 comm="sh" path="/usr/bin/sudo" dev=dm-0 ino=7355981 scontext=unconfined_u:system_r:nrpe_t:s0 tcontext=system_u:object_r:sudo_exec_t:s0 tclass=file 看起来像我试图通过NRPE执行的Nagios插件被SELinux阻止。 我该怎么办?

没有selinux的Linux发行版

内核中是否有没有selinux部分的Linux发行版? 对不起,如果这是愚蠢的问题;),但我的发行版(debian)有它,我看到它在kernel.org上的内核,所以我想知道如果它是如此受欢迎,每个发行版有它或一些删除这部分的内核,其他? 如果没有这个内核部分的发行版(我的意思是完全删除,不仅仅是禁用和等待在启动时启用像debian),你可以举一些例子吗?

无法重新启用SELinux

到目前为止,我们已经禁用了SELinux作为我们的标准操作程序 – 在您告诉我之前,我知道。 这就是为什么我们现在启用它,我们有时间了。 我们的正常程序是: 在/etc/selinux/config设置SELINUX=disabled 将selinux=0添加到grub的kernel行 我现在正试图撤消所有这些,但是在某些服务器上,由于某种原因它将不会重新启用。 ~ # grep ^SELINUX= /etc/selinux/config SELINUX=permissive ~ # grep -i selinux /boot/grub/menu.lst ~ # getenforce Disabled ~ # sestatus SELinux status: disabled ~ # setenforce 1 setenforce: SELinux is disabled ~ # sestatus SELinux status: disabled 我重新启动(多次)无济于事,包括使用/.autorelabel文件进行初始重新启动。 谁能告诉我我错过了什么? CentOS 6 2.6.32-431.20.3.el6.x86_64

无法启用自定义SELinux规则

logrotate无法在CentOS 7上为我们的应用程序旋转日志文件。这似乎是由于这个AVC错误: type=AVC msg=audit(1441112694.305:19502): avc: denied { write } for pid=9146 comm="logrotate" name="autuitive.log" dev="xvda1" ino=26262388 scontext=system_u:system_r:logrotate_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:usr_t:s0 tclass=file 我将错误传递给audit2allow实用程序来创build一个允许它的规则,但是当我尝试启用该规则时,出现以下错误: [root@app1 ~]# semodule -i logrotate.pp libsepol.print_missing_requirements: logrotate's global requirements were not met: type/attribute logrotate_t (No such file or directory). libsemanage.semanage_link_sandbox: Link packages failed (No such file or directory). semodule: Failed! 这是生成的规则本身: [root@app1 ~]# cat logrotate.te module […]

SElinux:如何在不重启的情况下更改为宽容模式?

我需要更改selinux在生产服务器上的“宽容模式”,而不用重新启动,但setenforce不会让我这样做(作为根),它总是打印“setenforce:SELinux被禁用”我做错了什么? [root@server3 ~]# setenforce 0 setenforce: SELinux is disabled [root@server3 ~]# setenforce 1 setenforce: SELinux is disabled [root@server3 ~]# setenforce Permissive setenforce: SELinux is disabled [root@server3 ~]# getenforce Disabled

TFTP上传失败

我在Centos 5.4服务器上通过xinetd运行TFTPD。 我能够通过tftp罚款访问文件,所以我知道服务运行正常。 但是,每当我尝试上传文件,我得到一个0权限被拒绝的消息。 我已经在/ tftpboot中创build了文件,并将权限设置为666。 我的tftpdconfiguration有详细的日志logging(-vvvv),但我在/ var / log / messages中看到的是: START:tftp pid = 20383 from = 192.168.77.4 我已经看到一些提到SELinux可以防止TFTPD上传,但我希望看到日志中的东西。 我有SELinux设置为宽容模式。 有任何想法吗?

SElinux错误:ValueError:端口tcp / 5000已经定义

我一直试图在端口5000上为apache添加一个exception到SELinux。所以我使用了下面的命令: # semanage port -a -t http_port_t -p tcp 5000 但是返回错误, ValueError: Port tcp/5000 already defined 我试图用命令来检查这是否如此: semanage port -l |grep 5000 这给了输出, http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000 正如你所看到的,5000不在列表中。 有什么明显的我失踪? 事先感谢您的努力 所以我发现另一个服务有一个为TCP端口5000定义的状态。 但是通过用-mreplace-a选项来修改,将tcp端口5000添加到http_port_t
Intereting Posts
在Mac OS X中的PHP:PHP在浏览器中加载源代码,而不是执行… 根据nginx中的http引用来源目录中的静态文件 将计划任务的密码传递给WGET –proxy-password参数? 如何使鱿鱼像只有代理工作,没有caching任何东西 nginx作为反向ssl代理(Apache + Varnish)跳过自己的configuration 包是什么时候最后更新的? 将/ var移动到新的一组磁盘 VMWare ESXiconfiguration在每次启动时都会损坏 Ubuntu服务器16.04.1 LTS和/ var / tmp 在未joinWindows 7的AD中查找计算机 terminal服务器上运行的最大并发会话数是多less? PGP:在networking上,如果一切都被篡改了呢? 在我自己的WiFi上设置糟糕的信号质量 如何调整LVM物理卷的大小? 如果我是“example.com”的所有者,如何使我的自定义“[email protected]”电子邮件地址