Wkurzający Selinux

[ra-v]

Czy można zrobić cokolwiek z SELinuxem aby w trybie zezwalania nie wywalał mi co chwila popupów z kontekstami bezpieczeństwa czy jak to zwać? Czy może (_wogóle_ → w ogóle) ORT wyłączyć SELinuxa bo tak naprawdę poza dobijaniem systemu nie wiadomo jak to ustawić ani po co to jest? Jeśli już czytam jakiegoś manuala dot. SEL to mam wrażenie że rzucono mnie jak astronautę na kajak i kazali płynąć przez Atlantyk.

[Amos]

Przeczytać te informacje i zastsować podane w nich sposoby rozwiązania problemów?

[ra-v]

PodsumowanieSELinux powstrzymuje httpd (httpd_t) "write" do ./3 (user_tmp_t). Szczegółowy opis[SELinux jest w trybie zezwalania, operacja powinna zostać zabroniona, ale została wykonana w powodu trybu zezwalania.]SELinux odmówił httpd żądania dostępu. Ten dostęp nie jest konieczny dla httpd i może sygnalizować próbę włamania. Jest także możliwe, że określona wersja lub konfiguracja aplikacji powoduje, że wymaga ona tego dostępu. Zezwalanie na dostępProblemy z nadawaniem etykiet mogą czasem powodować odmowy SELinuksa. Możesz spróbować przywrócić domyślny kontekst plikom systemowym dla ./3, restorecon -v "./3" Jeśli nie działa, obecnie nie ma automatycznego sposobu na pozwolenie na ten dostęp. Zamiast tego możesz utworzyć lokalny moduł polityki, aby pozwolić na ten dostęp - zobacz FAQ Możesz też wyłączyć ochronę SELinuksa. Wyłączenie jej nie jest zalecane. Zgłoś raport błędu o tym pakiecie.

 

Link FAQ nie działa. Jak już piałem nie chce się pchać z systemem bo nie ma na to czasu.

[zybex_pl]

W konsoli jako root : system-config-selinux

tam go wyłączysz ale pamiętaj czasem lepiej mieć więcej niz mniej

Zybex

[@WalDo]

Jak już piałem nie chce się pchać z systemem bo nie ma na to czasu.

Przekopiowanie i uruchomienie jako root polecenia naprawy widocznego w komunikacie nie jest imho czasochłonne

restorecon -v "./3"

Możesz dodać opcję "-R" żeby poszło rekursywnie po podkatalogach.

 

[jjj]

Popupy? ja bym spróbował wywalić setroubleshot, a potem w razie potrzeby przyblokować kilka aktywatorów.

Niestety, obudowa selinuxa rozwija się, i z wydania na wydanie je jkonfiguracja jest nieco inna.

 

Btw, w krytycznych sytuacjach setroubleshot bywa przydatny.

[ra-v]

Cytat(ra-v @ 30 May 2010, 23:00 )

Jak już piałem nie chce się pchać z systemem bo nie ma na to czasu.

Przekopiowanie i uruchomienie jako root polecenia naprawy widocznego w komunikacie nie jest imho czasochłonne

Kod

restorecon -v "./3"

Możesz dodać opcję "-R" żeby poszło rekursywnie po podkatalogach.

W tym przypadku chyba chodzi o katalog (wklejałem 1. lepszy komunikat) /tmp/eaccelerator i zrobiłem jak pisałeś dla całego katalogu, ale to nie pomaga Zresztą w zdecydowanej większości przypadków nic nie da się zrobić, można co najwyżej wyciszyć, a np. w eacceleratorze bedzie mi krzyczał co chwila o to jak również w stronach WWW na localhoście.

 

setroubleshot wyłączę jeśli tu nie znajdę odpowiedzi lub manuala przystępnego dla normalnego użytkownika.

 

Btw, w krytycznych sytuacjach setroubleshot bywa przydatny.

Możesz choćby ogólnie przybliżyć?

[jjj]

Możesz choćby ogólnie przybliżyć?

Podpowiedzi zawierają więcej niż logi. Mogą ci oszczędzić czasu, który trzeba by poświęcić na przeszukiwanie dokumentacji.

Ale to nie jest bezwarunkowy argument za pozostawieniem go w systemie. Ja nie mam.

 

[ra-v]

Podpowiedzi zawierają więcej niż logi. Mogą ci oszczędzić czasu, który trzeba by poświęcić na przeszukiwanie dokumentacji.

Czyli +1 za.

Ale to nie jest bezwarunkowy argument za pozostawieniem go w systemie.

Czy masz na mysli cos na temat hostingu wirtualnego?

 

A swoją drogą jak się ma wydajność komputera do (nie)używania SEL? (Athlon XP 1x2.0GHz, 1GB RAM)