Selinux Felsökningslösningar

Få din dator att fungera som ny på några minuter. Klicka här för att ladda ner.

Dessa bilreparationer är värda att läsa när du felsöker och fixar ett Selinux-fel.fedoramagazine.org Bild: fedoramagazine.org Felsökning av SELinux 5.1-problem. SELinux feldetektering. Följ endast stegen i denna procedur; I vissa tillfällen måste du omedelbart slutföra sökväg 1.5.2. Analys av distribution av SELinux avslagstexter. 5.3. Eliminera analyserad SELinux kommer. 5.4. SELinux misslyckas, liksom en persons granskningslogg.

SELinux isolerar alla parter som körs på systemet för att förhindra förmånshöjande attacker. Höjd innebär att din egen enskilda process får mer åtkomst än vad den borde. Förhindra

För att göra detta använder SELinux ett verktyg för obligatorisk åtkomstkontroll (MAC) för alla procedurer. Den identifierar också processer, filer och till och med kataloger enligt reglerna för ett specifikt säkerhetsschema känt i form av SELinux policy.

SELinux-informationen definierar också hur processer möts och till och med hur detta företag kan komma åt och till och med komma åt filkataloger. SELinux avvisar mycket åtgärder som inte tydligt borde tillåtas av SELinux policy.

  • övervinna filer eller skriv ut kataloger med falsk SELinux-kontext
  • Begränsade processer konfigureras vanligtvis annorlunda än förväntat i vanliga SELinux-policyer.
  • Fel i SELinux policy eller applikation.

Felsök MessagesSELinux AVC på den här kommandoraden

Hur felsöker jag SELinux-problem?

Använd aussearch-verktyget för att sluta bli alla de senaste AVC-meddelandena samt , upptäck att SELinux avvisar din åtgärd:Använd verktyget Journalctl för att se mer information om AVC-meddelandet:Använd själva sealert-verktyget för att utforska AVC-meddelandet på ett större avstånd:

Hur ska jag kontrollera SELinux-reglerna?

SELinux-medlen kan ses och redigeras genom att köpa SELinux management GUI-vapen enkelt i administrationsmenyn och för paketet och kommer ibland inte att installeras som standard.

Om SELinux nekar metoden, lagras AVC (Access Vector Cache) röstmeddelande när /var/log/audit/audit.log och därför som en del av / var / log per messages filer eller så kan det vara journalförd av alla demonved. Om du misstänker vilka SELinux som har avvisat en åtgärd som vidtagits av blodlinjemedlemmar, följ dessa tydliga felsökningsöverväganden:

  1. felsökning av selinux

    Använd mitt verktyg ausearch för att hitta många aktuella AVC-meddelanden som är tillåtna och SELinux avvisar den faktiska fasen:

      # ausearch -m AVC, USER_AVC -ts aktuellTid-> tors 18 feb 14:24:24 2016typ = AVC msg är lika med revision (1455805464.059: 137): avc: added pulled for target pid = 861 comm är lika med "httpd" name = "error_log" dev är lika med "sdb1" ino = 20747 scontext implicerar system_u: system_t:s tcontext betyder system_u: object_r: var_run_t: s0 tclass är lika med fil permissive = 0 

    felsökning selinux

    Parametern -m specificerar vilken design och stil för informationsrotation som ska vara väldefinierad. Parametern -ts beskriver jobbets tidsstämpel. Till exempel, -ts aktuella anländer AVC-meddelanden under de senaste 10 minuterna, och -ts omedelbart returnerar kampanjer för hela 24-timmarsintervallet.

  2. Använd journalctl elektrisk för att visa ytterligare information. Orden och fraserna bredvid AVC Journalctl-implikationen:

      # -t setroubleshoot --given = [tid] 

    Ersätt [tid] med det slumpmässiga AVC-e-postmeddelandet som du hittade i den första proceduren. På den här nivån förhindrade SELinux vår httpd -process från att röra sig utanför logiområdet / var / log per httpd / error_log :

      nummer journalctl -t setroubleshoot --sedan motsvarar 14:20- Loggar börjar fredagen den 15 januari 2016 01:17:17 UTC, slutar torsdagen 14:25:21, 18 februari 2016 UTC. -18 feb, 14:24:24 fedora.23.virt setroubleshoot [866]: SELinux förhindrar httpd från att lägga till att kunna komma åt error_log-filen. För att utföra SELinux-meddelanden. Seal -d e9d8fa2e-3608-4ffa-9e72-31a1b85e460b 
  3. Använd sealert elkraft för att ytterligare kontrollera AVC-e-postmeddelandet:

      # Sealer [meddelande_ID] 

    Ersätt -l [meddelande-ID] med praktiskt taget vilket nummer som helst i AVC-meddelandet. Resultatet kommer säkerligen att likna följande tips:

    • I ditt exempel förhindrade SELinux processformen httpd från att normalt hitta filen / var kontra log / httpd / error_log helt enkelt felaktigt taggad via märka. var_log_t biljett SELinux typ:

        # Sealert -l e9d8fa2e-3608-4ffa-9e72-31a1b85e460b    SELinux förhindrar att httpd öppnas för att ansluta till / var / log httpd / error_log.***** Restorecon-plugin-programmet (trust 99.5) erbjuder *************************När någon vill det kan fixa min tagg.    /var/log/httpd/error.log Standardnamnet bör ändå vara httpd_log_t.    Då kan shoppare köra restorecon.    Do    / Sbin / restorecon -v / var kontra logg / httpd / error_number[klipp för att passa klarhet] 
    • I det här exemplet har SELinux förhindrat hela plugin-containe -processen från att ansluta till sin community över TCP och är en hel del från att använda bluejeans-tjänsten som ett resultat av den nya mozilla_plugin_can_network_connect och dessutom mozilla_plugin_use_bluejeans Booleans har alltid inte inkluderats slumpmässigt:

      Snabb och enkel PC-reparation

      Körs din dator långsamt och visar ständigt fel? Har du funderat på att formatera om men har inte tid eller tålamod? Var inte rädd, kära vän! Svaret på alla dina datorproblem är här: Restoro. Denna fantastiska programvara kommer att reparera vanliga datorfel, skydda dig från filförlust, skadlig programvara, maskinvarufel och optimera din dator för maximal prestanda. Så länge du har det här programmet installerat på din maskin kan du kyssa de frustrerande och kostsamma tekniska problemen adjö!

    • 1. Ladda ner och installera Reimage
    • 2. Öppna programmet och klicka på "Skanna"
    • 3. Klicka på "Reparera" för att starta återställningsprocessen

  nummer Sealert -l fc46b9d4-e5a1-4738-95a7-26616d0858b0SELinux förhindrar att börja bläddra till plugin-behållare från name_connect för att vår tcp_socket 5000-port.***** Plugin catchall_boolean (confidence 9.19) erbjuder *******************Om du begär att tillåta Mozilla-tilläggsdomän som kommer att hjälpa till att ansluta till mlm över TCP.Då måste du säga till SELinux att inkludera ett stort antal av booleanerna 'mozilla_plugin_can_network_connect'.Besök Man-webbplatsen "mozilla_selinux" för mer information.Dosetsebool -P mozilla_plugin_can_network_connect 1***** Catchall_boolean plugin (trust 9.19) illustrerar att *******************Om du hoppas kunna stödja Mozilla-plugin, implementera blå jeans.Då måste du informera SELinux genom att aktivera den booleska mozilla_plugin_use_bluejeansen.Du kommer sannolikt också att läsa informationen om mozilla_selinux man för mer information.Dosetsebool -P mozilla_plugin_use_bluejeans 1[förkortad för tydlighetens skull] 
  • Hur visar jag SELinux-loggar?

    SELinux-loggning Den plats där hela din familj hittar den här loggen är mycket utbudsberoende, men den hanteras vanligtvis i / var / log eller avc. rapportera om du inte använder linux revisionsdemon och dessutom här i / var / document / audit / audit. log eller möjligen en / var / log – revision.

    I det här exemplet nekade SELinux en ny passwd processåtkomst på vägen till /home/user/output. txt -sats det finns ingen regel i någon sorts SELinux-policy som förklarar varför passwd inte på något sätt ska skriva för att vara filer markerade med SELinux-typ i user_home_t :

    Hur felsöker jag ett fel i SELinux-varning?

    För att åtgärda felet, klicka på den exakta “Reparera”-knappen i SELinux Alert-verktyget. Webbläsaren kommer att returnera de tillgängliga alternativen för att fixa felet och så koden som är viktig för att köra för att fixa problemet. Vissa felsökningshändelser kan vändas åt sidan genom att aktivera policyn för boolesk knapptryckning.

      # sealert -k 1dd524dd-1784-44ef-b6d1-fff9238ed927SELinux hindrar passwd från att neka skrivning att ha tillgång till artiklar i / hem för varje användare / output file.txt.***** Catall Plugin (100th Trust) innebär **************************Om du undrar vad standardlösenordet kan vara för att ge dig skrivåtkomst till filen output.txt.Då kan varje person rapportera det som en bugg.Du kommer troligen att skapa en lokal policyenhet så att du tillåter denna åtkomst.DoTillåt denna typ av åtkomst tills vidare genom att göra följande:# grep eller var / log / utvärdering / revision passwd.log | audit2allow -M mypol# semodule Mypol -i.pp[förkortat bara för tydlighetens skull] 
  • Hur felsöker jag SELinux?

    getebool -a. 2 – För att sätta SELinux i tillåtande läge, expandera per etc / selinux / config informationen och ändra en specifik rad:SELINUX innebär kraft. v:SELINUX = tillåtande. – Och efter omstart.Börja om.

    Följ de lämpliga metoderna som föreslås av sealert . Använd till exempel varje restorecon -verktyg för att skapa felmärkta filer och inkludera några booleska priser. Om det inte finns någon korrekt professionell vägledning från sealert , men med andra sidan du inte är säker på hur du ska implementera det, vänligen prata med vår cateringfirma. Om du tror att någon sorts SELinux-parameter kan beskrivas som en bugg, rapportera ett virus.

  • Upprepa åtgärden du försökte innan SELinux misslyckades. Om SELinux ändå begränsar åtgärden, rapportera detta fel.

  • Ytterligare information:

    • SELinux användar- och administratörsguide (särskilt typiskt felsökningsavsnittet)
    • Sealert (8) sida
    • aussearch (8) information squeeze sida
    • manuell återställningssida (8)
    • journalctl (1) man-sida

    Få ut den bästa prestandan ur din dator. Klicka här för att optimera din dator i tre enkla steg.
    < >

    Hur kontrollerar man om SELinux är på eller av?

    Ett annat sätt att framgångsrikt kontrollera SELinux-statusen vanligtvis är att helt enkelt köra kommandot. Baserat på resultatet från find out it-kommandot kan du föreställa dig att en majoritet av det nuvarande läget kan namnges efter behov.

    Varför fungerar inte många tjänster med SELinux?

    En del vård som körs regelbundet har inte en specifik policy för att ge många behörigheter att köra SELinux. För att upptäcka vilka dessa behörigheter är, var säker på att ställa in behörighetsläget dessutom, kontrollera loggarna för åtkomstprodukter. Tjänsten körs inte: wicd implementeras istället för NetworkManager-tjänsten så att du upprätthåller trådlösa anslutningar.