Linux基础备忘_07: SELinux之利用te来调通bugzilla

2017-04-07 15:39:01 311 收藏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaochong1975/article/details/69566916
版权

问题由bugzilla无法使用mysql引起,mysql.sock(13)是permission deny,关闭selinux则OK。

但是奇怪的是audit.log中并无AVC信息,即使已经semodule -DB.

audit.log的问题已解决:注意一下audit.log的权限,service auditd才能正确启动

AVC信息是:

type=AVC msg=audit(1491554195.794:3271): avc:  denied  { connectto } for  pid=25432 comm="index.cgi" path="/var/lib/mysql/mysql.sock" scontext=system_u:system_r:        httpd_sys_script_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=unix_stream_socket


试图用以下方法解决:

1)getsebool on若干以httpd,mysql为关键字的变量,无效。另:无关键字sock的变量

2)te加入semodule的方式:

grep httpd_sys_script_t audit.log | audit2allow -m httpd > httpd.te

checkmodule -M -m -o httpd.mod httpd.te

semodule_package -m httpd.mod -o httpd.pp

semodule -i httpd.pp


此时解决了mysql.sock(13),但又出现了新的deny,需要重新加入allow,其中也有可能不再是httpd_sys_script_t

关于更详细的te,参考http://serverfault.com/questions/321301/how-do-i-view-the-contents-of-a-selinux-policy-package



已标记关键词 清除标记
selinux
怪手大分的专栏
11-12 8159
Contents 引言 部份问题所在解决方案 SELinux 模式SELinux 政策SELinux 访问控制排除 SELinux 疑难 重新标签文件撤消缺省的安全性脉络重新标签整个文件系统允许访问某个端口 自定 SELinux 政策利用 audit2allow 创建自定 SELinux 政策模块 手动式自定政策模块 总结额外资源用户备注及陷阱
avc: denied 权限问题
Venus 的博客
09-28 1万+
avc:denied 有些时候在eng版本会出现类似错误,可能导致在user版本无法使用: 1)avc: denied { getattr } for path=”/sbin/cbd” dev=”rootfs” ino=1182 scontext=u:r:cbd:s0 tcontext=u:object_r:rootfs:s0 tclass=file permissive=0 2)avc: ...
表情包
插入表情
还能输入1000个字符
相关推荐
Linux基础备忘_03:图形界面,中文输入,xwiki,selinux中配置bugzilla
gaochong1975的博客
03-23 389
图形界面:  #vim /etc/X11/xinit/Xclients看出当前为gnome 中文输入: 除terminal外的应用均无法中文输入,使用init 5 参考http://www.360doc.com/content/17/0312/15/4059533_636202845.shtml
深入了解SELinux
Winston
11-03 2426
前言: 本篇blog主要从SELinux历史、DAC和MAC、SELinux运行框图(混合模式)、Apache的例子(Legacy and SELinux)、SELinux Mode、SEPolicy文件结构、SELinux Policy语言介绍,这7个方面,让大家对selinux有整体的了解。 一、SELinux历史 SEAndroid是Google在Android 4.4上正式推
深入理解SELinux SEAndroid之二
Innost的专栏
02-21 6万+
接第一部分的内容(http://blog.csdn.net/innost/article/details/19299937)。今天公司年会,哥高兴,所以发布第二部。SELinux/SEAndroid一共分三部分。第一和第二部分是SELinux基础知识,第三部分是SEAndroid的工作源码分析。        深入理解SELinux/SEAndroid 第二部分3)  File/File Sys
Linux学习之CentOS(三十)--SELinux安全系统基础
weixin_33755557的博客
05-26 337
您可以过点击 右下角 的按钮 来对文章内容作出评价, 也可以过左下方的 关注按钮 来关注我的博客的最新动态。 如果文章内容对您有帮助, 不要忘记点击右下角的 推荐按钮 来支持一下哦 如果您对文章内容有任何疑问, 可以过评论或发邮件的方式联系我: 501395377@qq.com / lzp501395377@gmail.com 如果需要转载,请注明出处,谢谢!...
linuxselinux强制访问控制
Ying_smile的博客
05-16 3323
selinux selinux是强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文 selinux影响着:(1)程序访问文件(2)程序访问功能(微信),进程本身功能,开关 查询selinux状态 命令:g...
SELinux policy enabled; httpd running as context unconfined_u:system
wangminshe89
11-20 401
CentOS6.0 下默认开selinux时出现httpd 报“SELinux policy enabled; httpd running as context unconfined_u:system”的解决方案 安装audit2allow 参看http://wiki.eri.ucsb.edu/sysadm/SELinux yum install policycoreutils-pyth...
深入理解SELinux SEAndroid(第一部分)
Innost的专栏
02-16 12万+
按哥的习惯,应该是全部洗剪吹完后再发,不过今年是马年,什么都强 马上。所以 现在就先奉献 马上有第一部分  祝各位同仁,朋友 马年快乐。 深入理解SEAndroidSEAndroid是Google在Android 4.4上正式推出的一套以SELinux基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系
升级chrome出现SELinux问题的解决方法
Ytingone
09-03 1797
才安装了chrome,就获得了45版本的更新,使用proxychains工具过yum升级之后,只要一打开就出现一堆插件崩溃提示,同时SELinux也发出警报,提示: SELinux is preventing /opt/google/chrome/chrome from using the setcap access on a process. 解决方法及分析如下:
解决selinux的警告
良玉的博客
07-18 4759
Nagios  and SELinux Nagios 3.2.0    CentOS 5.4 在开启SELinux的情况下,SELlinux不断警告: tail /var/log/messages Mar 9 23:58:53 wingwu setroubleshoot: SELinux is preventing ping (ping_t) "read write
NGINX: SELinux 13:permission denied
谨慎对事 低调行事 0与1的世界 浩瀚如海 学无止境
04-12 3383
When you upgrade a running system to Red Hat Enterprise Linux (RHEL) 6.6 or CentOS 6.6, the Security Enhanced Linux (SELinux) security permissions that apply to NGINX are relabelled to a much strict
Linux中audit日志的使用方法
Han的小站
02-27 3万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
SELinux For Android(Android O)
一叶梧桐
02-05 7379
注!该文章主要是从Android官方文档SELinux模块进行精简,简单添加了一些自己的理解     从 Android 4.3 起,SELinux 开始为传统的自主访问控制 (DAC) 环境提供强制访问控制 (MAC) 保护功能。例如,软件常情况下必须以 Root 用户帐号的身份运行,才能向原始块设备写入数据。在基于 DAC 的传统 Linux 环境中,如果 Root 用户遭到入侵,攻击
selinux denied: u:r:untrusted_app:s0:c512,c768报错解决
unbroken
01-09 4704
报错: W rild : type=1400 audit(0.0:2154): avc: denied { read } for scontext=u:r:rild:s0 tcontext=u:r:untrusted_app:s0:c512,c768 tclass=file permissive=0 上边报错导致此句设置权限无效 allow rild untrusted_app:file {
selinux security level引起的denied u:r:untrusted_app:s0:c512,c768问题
nuanhua209的专栏
02-22 6367
最近selinux遇到问题:avc: denied { sigkill } for pid=12755 comm="sh" scontext=u:r:AAAA:s0 tcontext=u:r:untrusted_app:s0:c512,c768 tclass=process permissive=0 发现即使加了 allow AAAA untrusted_app:process sigkill
深入理解SELinux SEAndroid
LoongEmbedded的专栏
03-10 4578
按哥的习惯,应该是全部洗剪吹完后再发,不过今年是马年,什么都强 马上。所以 现在就先奉献 马上有第一部分  祝各位同仁,朋友 马年快乐。 深入理解SELinux SEAndroidSEAndroid是Google在Android 4.4上正式推出的一套以SELinux基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Lin
SEAndroid策略分析
墨点梧桐的专栏
01-25 1万+
SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SEAndroid的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关的操作。
Docker问题:container_linux.go:345: starting container process caused “process_linux.go:430
慌途L
08-20 2万+
docker问题:container_linux.go:345: starting container process caused "process_linux.go:430 上一篇:离线安装docker服务. 由于前面是离线安装的docker服务,所以我所有的服务镜像都是打成tar包进来的。在启动mysql镜像的时候,出现以下问题: docker: Error response from...
©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页