Linux基础备忘_07: SELinux之利用te来调通bugzilla
2017-04-07 15:39
351 查看
问题由bugzilla无法使用mysql引起,mysql.sock(13)是permission deny,关闭selinux则OK。
但是奇怪的是audit.log中并无AVC信息,即使已经semodule -DB.
audit.log的问题已解决:注意一下audit.log的权限,service auditd才能正确启动
AVC信息是:
type=AVC msg=audit(1491554195.794:3271): avc: denied { connectto } for pid=25432 comm="index.cgi" path="/var/lib/mysql/mysql.sock" scontext=system_u:system_r: httpd_sys_script_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c102
4000
3
tclass=unix_stream_socket
试图用以下方法解决:
1)getsebool on若干以httpd,mysql为关键字的变量,无效。另:无关键字sock的变量
2)te加入semodule的方式:
grep httpd_sys_script_t audit.log | audit2allow -m httpd > httpd.te
checkmodule -M -m -o httpd.mod httpd.te
semodule_package -m httpd.mod -o httpd.pp
semodule -i httpd.pp
此时解决了mysql.sock(13),但又出现了新的deny,需要重新加入allow,其中也有可能不再是httpd_sys_script_t
关于更详细的te,参考http://serverfault.com/questions/321301/how-do-i-view-the-contents-of-a-selinux-policy-package
但是奇怪的是audit.log中并无AVC信息,即使已经semodule -DB.
audit.log的问题已解决:注意一下audit.log的权限,service auditd才能正确启动
AVC信息是:
type=AVC msg=audit(1491554195.794:3271): avc: denied { connectto } for pid=25432 comm="index.cgi" path="/var/lib/mysql/mysql.sock" scontext=system_u:system_r: httpd_sys_script_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c102
4000
3
tclass=unix_stream_socket
试图用以下方法解决:
1)getsebool on若干以httpd,mysql为关键字的变量,无效。另:无关键字sock的变量
2)te加入semodule的方式:
grep httpd_sys_script_t audit.log | audit2allow -m httpd > httpd.te
checkmodule -M -m -o httpd.mod httpd.te
semodule_package -m httpd.mod -o httpd.pp
semodule -i httpd.pp
此时解决了mysql.sock(13),但又出现了新的deny,需要重新加入allow,其中也有可能不再是httpd_sys_script_t
关于更详细的te,参考http://serverfault.com/questions/321301/how-do-i-view-the-contents-of-a-selinux-policy-package
相关文章推荐
- Linux基础备忘_03:图形界面,中文输入,xwiki,selinux中配置bugzilla
- Linux基础备忘_11:Selinux的base mode与mls mode切换
- Linux基础备忘_06: ssh无密码访问和ssh root登录(在selinux下)
- 【Linux基础】SELinux
- 主机地址linux网络编程之TCP/IP基础(二):利用ARP和ICMP协议解释ping命令
- Javascript基础_07基础应用:求线性函数值、求奇数偶数和、求水仙花数、利用辗转相除法求最大公约数和最小公倍数、求某一年的日期为第几天
- Linux基础备忘_02:telnet相关
- Linux基础备忘_01:audit2allow的错误信息输出问题
- 【达内训练营第一天】07_26_Linux基础
- Linux基础:利用SSH上传、下载(使用sz与rz命令)
- 基础指南:利用Sed Stream编辑器在Linux中处理文本
- Linux学习之CentOS(三十)--SELinux安全系统基础
- Linux学习记录(15)SELinux基础知识
- Linux学习之CentOS(三十)--SELinux安全系统基础
- linux网络编程之TCP/IP基础(二):利用ARP和ICMP协议解释ping命令
- 菜鸟备忘之linux命令基础
- Linux基础:利用SSH上传、下载(使用sz与rz命令)
- Linux基础07_管线命令与命名历史
- 【linux基础】23、SElinux基础