-
在SELinux的最后进展,有童鞋表明SELinux警告不能理解。这个时候引入预警和解决方案,接下来的四个原因。
原因之一:注释错误
SELinux的核心概念是标签,无论是文件系统、目录、文件、文件启动描述符,接口,信息接口或者网络接口,所有这一切都需要标签,只能在授予的权限与标签按照执行。即使运行Apache进程受到黑客入侵和访问UID = 0根权限,它仍然无法用户的主目录下的文件的访问。因为Apache进程的注释为httpdt的userhome_t人迹罕至的注释内容。
所以,如果有与标签的问题,SELinux会弹出警告。如何处理这类可以在semanage fcontext和restorecon命令我们在以前的文章中使用。当然,它也可以在图形化的提示,按照解决SELinux调试器。
原因二:自定义程序运行设置
经过多年的发展,SELinux积累了大量的政策文件,大多数应用程序的默认运行的请求被记录并可以获得适当的最低权限。但如果你有一些自定义的配置或特殊应用的要求,你需要调整一些SELinux设置。
对于大多数的定制要求,SELinux用布尔值控制。我们可以看到在我们的网站靠前指挥setsebool使用。如果你想知道所有的SELinux布尔值可以调整,使用semanage布尔害羞;-我命令。这可以通过一个图形化的SELinux调试器或通过图形化系统配置SELinux的解决。
理由三:SELinux的政策或程序配置有问题
如果你没有专门修改配置但仍然收到SELinux警告,其原因可能是SELinux策略或应用程序本身。在这一点上,它是建议,错误报告提交第一次与SELinux调试器的帮助,然后根据形势的处理。如果已经据报道,通常的解决办法是在错误报告的意见处理。
在这种情况下,如果你想忽略SELinux警告仍然运行应用程序,有以下几个方面:
SELinux作为一个允许的方式,只记录警告而不停止运行:setenforce 0。
设置一个单一的诠释过程中允许的方式而不是整个系统,例如,只是想运行Apache:semange允许一个允许的方式httpd_t
创建和加载自定义策略参考了SELinux的调试器的建议。具体过程中根据情况的变化,并将在SELinux调试器的详细描述。
原因四:程序被入侵
SELinux不是一个入侵检测系统,所以SELinux的调试器无法区分入侵的时刻,但是当你发现警告的内容包含以下几个特点,很有可能已经被黑客破解的过程。
尝试关闭SELinux( / / SELinux等)或设置SELinux布尔值。
尝试加载内核模块,编写内核目录,或者引导程序映像。
一个文件,试图读shadow_t身份通常是包含在加密的帐户信息。
尝试重写写日志文件。
尝试连接一个不需要的随机端口或邮件端口。
在这四种常见的警告的原因,最后,我希望你下次遇到SELinux警告,你可以处理它安全有效。顺便说一下,大部分的SELinux除错工具的定位问题已经解决了。在简化版的童鞋可以看到警示内容简18在Fedora 18。