Lösungen Zur Fehlerbehebung Bei Selinux

Lassen Sie Ihren PC in wenigen Minuten wie neu laufen. Klicke hier zum herunterladen.

Diese Autoreparaturen sind immer lesenswert, wenn sie einen Selinux-Fehler beheben.fedoramagazine.org Bild: fedoramagazine.org Fehlerbehebung bei SELinux 5.1-Problemen. SELinux-Fehlererkennung. Befolgen Sie nur den in diesem Verfahren erforderlichen Vorgang; In bestimmten Fällen müssen Sie sofort Schritt 1.5.2. Analyse der Verteilung von SELinux-Nachrichten, die abgelehnt wurden. 5.3. Eliminieren Sie geparste SELinux-Rückgaben. 5.4. SELinux schlägt fehl, wie das Audit-Log ausführt.

SELinux isoliert alle auf dem System ausgeführten Funktionen, die dazu beitragen, Angriffe zur Steigerung des Nutzens zu verhindern. Elevation bedeutet, dass ein einzelner Prozess mehr Zugangsrechte erhält, als er sollte. Verhindern

Dazu wendet SELinux für jeden einzelnen Prozess ein Mandatory Access Control (MAC)-Tool an. Es identifiziert auch Prozesse, PCs oder Verzeichnisse gemäß den Vorschlägen eines bestimmten Sicherheitsschemas, das als SELinux-Richtlinie bezeichnet wird.

Die SELinux-Direktive definiert auch, wie Prozesse abdecken und wie dieses Unternehmen Dateiverzeichnisse zulassen und darauf zugreifen kann. SELinux verweigert jede Aktion, die manchmal nicht ausdrücklich durch die SELinux-Richtlinie zugelassen werden sollte.

  • Dateien verarbeiten oder Verzeichnisse drucken, die aus falschem SELinux-Kontext bestehen
  • Eingeschränkte Analysen werden anders konfiguriert als in Bezug auf die normale SELinux-Richtlinie erwartet.
  • Fehler beim Ausführen der SELinux-Richtlinie oder -Anwendung.

Fehlerbehebung bei MessagesSELinux AVC auf dieser Befehlszeile

Wie diagnostiziere ich SELinux-Probleme?

Verwenden Sie das Dienstprogramm aussearch, um die neuesten AVC-E-Mails abzurufen, und stellen Sie fest, dass SELinux die Aktion jetzt ablehnt:Verwenden Sie das Dienstprogramm Journalctl, um weitere Informationen zur AVC-Nachricht anzuzeigen:Verwenden Sie das Dienstprogramm Sealert selbst, um die AVC-Nachricht weiter zu untersuchen:

Wie überprüfe ich die SELinux-Regeln?

Der SELinux-Prozess kann mit den SELinux-Verwaltungs-GUI-Spionagetools angezeigt und geändert werden, die im Administrationsmenü usw. für das Paket verfügbar sind, und wird nicht standardmäßig installiert.

Wenn SELinux die Methode ablehnt, wird die AVC-Sprachnachricht (Access Vector Cache) in /var/log/audit/audit.log und wie ein Ergebnis in / var / Anzeige / Nachrichten < / code> Songs oder journald vollständig Daemon-Logs. Wenn Sie vermuten, welches SELinux eine Aktion von Familienmitgliedern abgelehnt hat, befolgen Sie diese klaren Schritte zur Problemlösung:

  1. troubleshooting selinux

    Verwenden Sie Ihr aktuelles Dienstprogramm ausearch , um alle aktuellen AVC-Nachrichten zu finden, die zweifellos zulässig sind, und SELinux lehnt die grundlegende Aktion ab:

      # ausearch -n AVC, USER_AVC -ts aktuellUhrzeit-> Do 18 Jahre Feb 14:24:24 2016type = AVC Mononatriumglutamat = Audit (1455805464.059: 137): avc: zusätzliche entfernt für Ziel-PID gleich 861 comm = "httpd" name ist gleich "error_log" dev = "sdb1" ino entspricht 20747 scontext = system_u: system_r: httpd_t: s0 tcontext = system_u: object_r: var_run_t: s0 tclass = Dateifreigabe entspricht 0 

    troubleshooting selinux

    Der Parameter -m gibt an, welche Art von Informationsrotation kontinuierlich definiert werden soll. Der Parameter -ts beschreibt den Zeitstempel des Berufs. Zum Beispiel gibt -ts new AVC-Nachrichten für die Fortsetzung für zehn Minuten zurück und -ts korrekt gibt Werbeaktionen für den ungeschnittenen Tag zurück.

  2. Verwenden Sie das Dienstprogramm journalctl , um weitere Informationen anzuzeigenDer Text neben der AVC Journalctl-Nachricht:

      # -t setroubleshoot --since = [time] 

    Ersetzen Sie [time] durch die zufällige AVC-Nachricht, die Sie im ersten Schritt gefunden haben. Auf dieser Ebene hat SELinux den httpd -Prozess beiseite gelegt, indem er den Geltungsbereich der genauen Datei / var / wood / httpd / error_log verlassen hat:

      # journalctl -t setroubleshoot --wegen der = 14:20- Die Protokolle beginnen am Freitag, 15. Januar 2016, 01:17:17 UTC, und sind am Donnerstag, 14:25:21, 18. Februar 2016 UTC abgeschlossen. -18. Feb, 14:24:24 fedora.23.virt setroubleshoot [866]: SELinux verhindert, dass httpd Zugriff auf die Datei error_log hinzufügt. Für vollständige SELinux-Nachrichten. Dichtung -d e9d8fa2e-3608-4ffa-9e72-31a1b85e460b 
  3. Verwenden Sie das Versorgungsunternehmen Sealert , um die AVC-Nachricht weiter zu überprüfen:

      # Sealert [message_ID] 

    Ersetzen Sie -l [message_ID] durch eine Zahl in der AVC-Lektion. Das Ergebnis wird sicherlich genau das gleiche sein wie die folgenden Tipps:

    • In diesem Beispiel hat SELinux verhindert, dass der Typ httpd häufig auf die Datei und var / log / httpd für jedes error_log zugreift, da er fälschlicherweise mit dem < Code> Tag. var_log_t-Tags SELinux-Typ:

        Nummer Sealert -l e9d8fa2e-3608-4ffa-9e72-31a1b85e460b    SELinux verhindert, dass httpd geöffnet wird, um den Zugriff auf /var/log und httpd/error_log zu erleichtern.***** Das WordPress-Plugin restorecon (Trust 99.5) bietet *************************Wenn jemand erwartet, mein Tag zu reparieren.    /var/log/httpd/error.log Der Standardname muss httpd_log_t sein.    Dann können Sie restorecon ausführen.    Machen    - Sbin / restorecon -v per var / log / httpd per error_number[aus Gründen der Klarheit geschnitten] 
    • In diesem Szenario hat SELinux den allgemeinen plugin-containe -Prozess daran gehindert, die Community über TCP zu verbinden und ist ohne Zweifel weit davon entfernt, die Bluejeans-Firma des neuen mozilla_plugin_can_network_connect < /code> weiterhin mozilla_plugin_use_bluejeans Boolean sind nicht zufällig enthalten:

      Schnelle und einfache PC-Reparatur

      Läuft Ihr PC langsam und zeigt ständig Fehler an? Haben Sie über eine Neuformatierung nachgedacht, aber Ihnen fehlt die Zeit oder die Geduld? Fürchte dich nicht, lieber Freund! Die Antwort auf all Ihre Computerprobleme ist hier: Restoro. Diese erstaunliche Software repariert häufige Computerfehler, schützt Sie vor Dateiverlust, Malware und Hardwarefehlern und optimiert Ihren PC für maximale Leistung. Solange Sie dieses Programm auf Ihrem Computer installiert haben, können Sie sich von diesen frustrierenden und kostspieligen technischen Problemen verabschieden!

    • 1. Laden Sie Reimage herunter und installieren Sie es
    • 2. Öffnen Sie das Programm und klicken Sie auf "Scannen"
    • 3. Klicken Sie auf "Reparieren", um den Wiederherstellungsvorgang zu starten

  # Sealert -l fc46b9d4-e5a1-4738-95a7-26616d0858b0SELinux verbietet den Zugriff auf Plugin-Container, die von name_connect zu unserem tcp_socket 5000-Port stammen.***** Plugin catchall_boolean (confidence 9.19) bietet ********************Wenn Kunden der Website-URL der Mozilla-Erweiterung erlauben möchten, sich über TCP mit mlm zu verbinden.Dann müssen Sie SELinux anweisen, die meisten der booleschen 'mozilla_plugin_can_network_connect' zuzulassen.Besuchen Sie die Man-Website "mozilla_selinux" für zusätzliche Informationen.Machensetsebool -P mozilla_plugin_can_network_connect 1***** Catchall_boolean Alexa-Plugin (Trust 9.19) zeigt, dass ********************Wenn Sie die Mozilla Alexa-Toolbar unterstützen möchten, verwenden Sie Blue Jeans.Dann müssen Sie SELinux aufklären, indem Sie den booleschen mozilla_plugin_use_bluejeans aktivieren.Sie sollten auch die mozilla_selinux-Menschenseite für weitere Details lesen.Machensetsebool -P mozilla_plugin_use_bluejeans 1[aus Gründen der Übersichtlichkeit gekürzt] 
  • Wie kann ich SELinux-Protokolle anzeigen?

    SELinux-Protokollierung Der Standardspeicherort, an dem Ihr gesamtes Personal dieses Protokoll finden kann, ist tatsächlich von der Distribution abhängig, befindet sich jedoch häufig in /var/wood/avc. Melden Sie, wenn Sie den Linux-Prüf-Daemon nicht verwendet haben, und hier in /var log / audit / audit. Indikator oder / var / log-Audit.

    In diesem Beispiel hat SELinux den Prozesseingang passwd in /home/user/output.txt Bemerkung, weil es in der SELinux-Richtlinie keine Regel gibt, die erklärt, warum nicht auch passwd für Dateien, die mit dem SELinux-Typ user_home_t markiert sind:

    Wie behebe ich einen Fehler in der SELinux-Warnung?

    Um den Fehler zu beheben, klicken Sie in der SELinux Alert-Anwendung auf einige der Schaltflächen "Reparieren". Der Browser gibt verfügbare Alternativen zurück, um die meisten Fehler zu beheben, und den Code, der ausgeführt werden musste, um die meisten Probleme zu beheben. Einige Fehlerbehebungsereignisse können vermieden werden, indem die Richtlinie "Boolean Button Press" aktiviert wird.

      # sealert -t 1dd524dd-1784-44ef-b6d1-fff9238ed927SELinux verhindert, dass passwd den Schreibzugriff auf Artikel in /back/user/output file.txt verweigert.***** Catall-Plugin (100. Vertrauen) impliziert *************************Wenn sich Besitzer fragen, wie das Standardpasswort lauten sollte, um Schreibzugriffe zu gewähren, gelangen Sie in die Datei output.txt.Dann sollte jeder Spezifische es als absoluten Fehler melden.Sie können einen lokalen Richtliniendrucker erstellen, um diesen Zugriff zuzulassen.MachenAktivieren Sie diesen Zugriff vorerst, indem Sie Folgendes tun:# grep / var / log - audit / audit passwd.log | audit2allow -M mypol# semodule Mypol -i.pp[aus Gründen der Übersichtlichkeit gekürzt] 
  • Wie debugge ich SELinux?

    getebool -a. 2 - Um SELinux in den permissiven Modus zu versetzen, erweitern Sie jedes /etc/selinux pro Konfigurationsdatei und ändern Sie eine eindeutige Zeile:SELINUX = Kraft. v:SELINUX = freizügig. 5 - Und nach dem Neustart.Von vorn anfangen.

    Befolgen Sie die entsprechenden Methoden, die von sealert vorgeschlagen werden. Verwenden Sie beispielsweise das spezielle Dienstprogramm restorecon , um Dateien mit falscher Bezeichnung zuzuordnen und eine Reihe von booleschen Werten einzuschließen. Wenn es keine taktischen Ratschläge von sealert gibt, Sie sich aber leider nicht sicher sind, wie Sie diese umsetzen sollen, denken Sie daran, unseren Caterer zu kontaktieren. Wenn Sie bedenken, dass der SELinux-Parameter als Fehler beschrieben werden kann, melden Sie bitte einen bestimmten Fehler.

  • Wiederholen Sie die Aktion, die wir versucht haben, bevor SELinux fehlschlug. Falls SELinux die Aktion immer noch einschränkt, übermitteln Sie bitte einen Fehler.

  • Zusätzliche Informationen:

    • SELinux-Benutzer- und Administratorhandbuch (insbesondere der Abschnitt zur Fehlerbehebung)
    • Sealert (8) Seite
    • aussearch (8) Informationsbereich
    • Seite zur manuellen Wiederherstellung (8)
    • journalctl (1) man-Seite

    Holen Sie die beste Leistung aus Ihrem Computer heraus. Klicken Sie hier, um Ihren PC in 3 einfachen Schritten zu optimieren.
    < p>

    Wie kann man überprüfen, wann SELinux ein- oder ausgeschaltet ist?

    Eine andere Möglichkeit, den SELinux-Titel erfolgreich zu überprüfen, besteht darin, einfach die Richtung auszuführen. Anhand der Ausgabe dieses tell it-Befehls können Sie sich vorstellen, dass der aktuelle Modus dennoch wie gewünscht beschrieben werden könnte.

    Warum einige Dienste hinzufügen, die nicht mit SELinux funktionieren?

    Einige Dienste, die regelmäßig ausgeführt werden, haben keine spezielle Richtlinie, um ausreichende Berechtigungen zum Ausführen von SELinux zu erteilen. Um zu bestimmen, was diese Berechtigungen sind, stellen Sie sicher, dass Sie die Berechtigungsmethode festlegen und die Protokolle auf Eingabeprobleme überprüfen. Dienst wird nicht ausgeführt: wicd wird immer anstelle der NetworkManager-Lösung verwendet, um drahtlose Verbindungen aufrechtzuerhalten.