主頁 > 知識(shí)庫 > 四個(gè)導(dǎo)致SELinux警告產(chǎn)生的原因詳細(xì)介紹

四個(gè)導(dǎo)致SELinux警告產(chǎn)生的原因詳細(xì)介紹
熱門標(biāo)簽:南寧智能外呼系統(tǒng)線路商 長沙智能外呼系統(tǒng)中心 長春外呼系統(tǒng)價(jià)格 聯(lián)客智能語音外呼系統(tǒng)賬號(hào)格式 電銷機(jī)器人的效果 南昌語音外呼系統(tǒng)代理 美圖手機(jī) 成都移動(dòng)外呼系統(tǒng) 佛山外呼系統(tǒng)平臺(tái)
上次的 SELinux 的入門評(píng)論中,有童鞋表示 SELinux 警告看不懂。這次就來介紹下四個(gè)導(dǎo)致警告產(chǎn)生的原因以及解決方案。

原因一:出現(xiàn)標(biāo)注錯(cuò)誤
SELinux 的核心概念就是標(biāo)注,無論是文件系統(tǒng)、目錄、文件、文件啟動(dòng)描述符、端口、消息接口還是網(wǎng)絡(luò)接口,所有的一切都需要標(biāo)簽,并且僅且僅能按照標(biāo)簽所賦予的權(quán)限執(zhí)行。即使運(yùn)行的 Apache 進(jìn)程被黑客入侵且取得了 uid=0 root 權(quán)限,它依然無法訪問某個(gè)用戶主目錄下的文件。因?yàn)闃?biāo)注為 httpdt 的 Apache 進(jìn)程所持有的無法訪問標(biāo)注為 userhome_t 的內(nèi)容。
因此,如果標(biāo)注有問題的話,SELinux 就會(huì)彈出警告。如何處理此類,可以參看本站前文中關(guān)于 semanage fcontext 和 restorecon 命令的使用。當(dāng)然也可以按照?qǐng)D形化的 SELinux 除錯(cuò)工具中的提示解決。

原因二:自定義了程序運(yùn)行設(shè)置
經(jīng)過多年的發(fā)展,SELinux 已經(jīng)積累了大量的策略文件時(shí),對(duì)于絕大多數(shù)應(yīng)用程序的默認(rèn)運(yùn)行請(qǐng)求都有記錄,可以賦予合適的最小權(quán)限予以執(zhí)行。不過若是您自定義了一些運(yùn)行配置或者有特殊的應(yīng)用需求,則需要調(diào)整部分 SELinux 設(shè)置。
對(duì)于大多數(shù)常見的自定義需求,SELinux 采取布爾值的方式進(jìn)行控制,可以參看本站前文中關(guān)于 setsebool 命令的使用。若想了解全部可調(diào)整的 SELinux 布爾值,使用 semanage boolean ­-l 命令。這可以通過圖形化的 SELinux 除錯(cuò)工具解決,也可以通過圖形化的 system-config-selinux 解決。

原因三:SELinux 策略或應(yīng)用程序配置有問題
若是您并未特別修改配置卻依然收到 SELinux 警告,原因可能就在 SELinux 策略或者應(yīng)用程序本身了。此時(shí)建議首先在 SELinux 除錯(cuò)工具的幫助下提交錯(cuò)誤報(bào)告,然后再依據(jù)情況進(jìn)行處理。若是已經(jīng)被報(bào)告過,通常在錯(cuò)誤報(bào)告的評(píng)論中會(huì)詳細(xì)解決方案。
此時(shí)若是想忽略 SELinux 警告依然運(yùn)行應(yīng)用程序,則有如下幾種方式:
將 SELinux 設(shè)為允許模式,僅記錄警告但不阻止運(yùn)行:setenforce 0。
將某單一標(biāo)注進(jìn)程設(shè)置為允許模式,而非整個(gè)系統(tǒng),例如僅想以允許模式運(yùn)行 Apache: semange permissive -a httpd_t
參照 SELinux 除錯(cuò)工具的建議創(chuàng)建并加載自定義策略。具體過程依情況而異,SELinux 除錯(cuò)工具內(nèi)會(huì)有詳細(xì)的說明。

原因四:程序已被入侵
SELinux 并非入侵檢測(cè)系統(tǒng),所以目前 SELinux 除錯(cuò)工具無法主動(dòng)的甄別出入侵企圖,不過當(dāng)您發(fā)現(xiàn)警告內(nèi)容包含有如下特征時(shí),很有可能對(duì)應(yīng)進(jìn)程已被黑客攻破了:
嘗試關(guān)閉 SELinux (/etc/selinux) 或者設(shè)定某個(gè) SELinux 布爾值。
嘗試載入內(nèi)核模塊、寫入內(nèi)核目錄或者引導(dǎo)器鏡像。
嘗試讀取 shadow_t 標(biāo)識(shí)的文件,那里通常包含了加密的賬戶信息。
嘗試覆蓋寫入日志文件。
嘗試連接不需要的隨機(jī)端口或者郵件端口。

至此四種常見警告原因介紹完畢,希望您下次遇到 SELinux 警告時(shí)可以安全有效的處理。順便說下,絕大部分 SELinux 除錯(cuò)工具的本地化問題已經(jīng)解決,使用簡(jiǎn)中的童鞋們將可以在 Fedora 18 看到簡(jiǎn)中的警告內(nèi)容了。

標(biāo)簽:云浮 阜陽 東營 法律服務(wù) 邵陽 沈陽 新鄉(xiāng) 慶陽

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《四個(gè)導(dǎo)致SELinux警告產(chǎn)生的原因詳細(xì)介紹》,本文關(guān)鍵詞  四個(gè),導(dǎo)致,SELinux,警告,產(chǎn),;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《四個(gè)導(dǎo)致SELinux警告產(chǎn)生的原因詳細(xì)介紹》相關(guān)的同類信息!
  • 本頁收集關(guān)于四個(gè)導(dǎo)致SELinux警告產(chǎn)生的原因詳細(xì)介紹的相關(guān)信息資訊供網(wǎng)民參考!
    • 推薦文章