jjj Napisano Listopad 23, 2006 Zgłoszenie Share Napisano Listopad 23, 2006 Po chwilowej przerwie w zasilaniu mam blokade niektórych uslug, które wczesniej byly dostepne. Filesystem jest czysty. Demony uslug dzialaja bez zarzutu i nie maja uszkodzonych ani konfigów, ani danych. Firewall równiez pracuje jak przedtem. audit wrzeszczy o naruszeniu zasad polityki. Wylaczenie selinuxa umozliwia normalny dostep. Wiec selinux. Konkretnie padl dostep do baz danych z poziomu php. Inne sposoby dostepu sa mozliwe (konsola, tcp/ip, jdbc). Ale chyba nie ma znaczenia o jaka usluge chodzi. Gdzie ten wspanialy selinux trzyma baze kontekstów plików? cos jest w /etc/selinux -- ale nie sadze, zeby to byla cala informacja. Oczekiwalbym /var/selinux, ale nic takiego nie ma. mtime plików konfiguracyjnych selinuxa jest niezmieniony od dosc dawna. Co sie moglo stac? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dj_oko Napisano Listopad 23, 2006 Zgłoszenie Share Napisano Listopad 23, 2006 Pokaż najpierw logi :] Nov 23 15:21:11 localhost kernel: audit(1164291647.669:368): avc: denied { search } for pid=1243 comm="pam_console_app" name="var" dev=hdb3 ino=1441793 scontext=system_u:system_r:pam_console_t:s0-s0:c0.c255 tcontext=system_u:object_r:file_t:s0 tclass=dir itd .... :/ Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
jjj Napisano Listopad 23, 2006 Autor Zgłoszenie Share Napisano Listopad 23, 2006 audit(1164046104.548:0): avc: denied { connect } for pid=1869 exe=/usr/sbin/httpd scontext=user_u:system_r:httpd_t tcontext=user_u:system_r:httpd_t tclass=tcp_socket Log jak log. Skoro wrzeszczy to ma powód, zresztą powód jest jasny. Jeno SKĄD się wziął powód do wrzasku, skoro w /etc/selinux wszystko jest takie samo, z tą samą wartością mtime. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
dj_oko Napisano Listopad 23, 2006 Zgłoszenie Share Napisano Listopad 23, 2006 SELinux - jak mniemam - w trybie Enforcing? Czy Permissive? U mnie wyskakuje duuuuuużo błedów przy starcie systemu, a słao sie to po jednym z update'ów jajka oczywiscie. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
jjj Napisano Listopad 23, 2006 Autor Zgłoszenie Share Napisano Listopad 23, 2006 targeted, enforcing. W permissive nie trzeba się przejmować . Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
broda Napisano Listopad 23, 2006 Zgłoszenie Share Napisano Listopad 23, 2006 jak masz włączonego SELinuksa: resotrecon -R / Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
jjj Napisano Listopad 24, 2006 Autor Zgłoszenie Share Napisano Listopad 24, 2006 Na konto email roota dostaję co pewien czas listingi ,,missing file contenxt''. Wtedy restorecon pomaga. Jedna z rzeczy które zrobiłem, to "ls -R /var/www/ | xargs [opcje] restorecon". Ale nic się nie zmieniło. Być może masz rację, może zgubił się kontekst do któregoś konfiga selinuxa i trzeba "restorecon -R /" ? W każdym razie maila od selinuxa nie było i nie ma. Zwykle bywał. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się