本文主要
介绍了四个
原因和
解决方案,使SELinux警告。
原因之一:注释
错误 SELinux的
核心概念是标签,无论是
文件系统、
目录、文件、文件
启动描述符,接口,信息接口或者
网络接口,所有这一切都需要标签,只能在授予的
权限与标签按照
执行。即使
运行Apache
进程受到黑客入侵和访问UID = 0根权限,它仍然无法
用户的主目录下的文件的访问。因为Apache进程的注释为httpdt的userhome_t人迹罕至的注释内容。
所以,如果有与标签的问题,SELinux会弹出警告。如何
处理这类可以在semanage fcontext和restorecon
命令我们在以前的文章中使用。当然,它也可以在图形化的
提示,按照解决SELinux调试器。
原因二:自定义
程序运行
设置 经过多年的发展,SELinux积累了大量的政策文件,大多数
应用程序的
默认运行的请求被记录并可以获得适当的最低权限。但如果你有一些自定义的
配置或特殊应用的要求,你需要
调整一些SELinux设置。
对于大多数的定制要求,SELinux用布尔值
控制。我们可以看到在我们的
网站靠前指挥setsebool使用。如果你想了解所有可调的SELinux布尔值,使用semanage布尔mdash;mdash;我命令。这可以通过一个图形化的SELinux调试器或通过图形化系统配置SELinux的解决。
理由三:SELinux的政策或程序配置有问题
如果你没有专门
修改配置但仍然收到SELinux警告,其原因可能是SELinux
策略或应用程序本身。在这一点上,它是建议,错误
报告提交第一次与SELinux调试器的帮助,然后根据形势的处理。如果已经据报道,通常的解决办法是在错误报告的意见处理。
在这种
情况下,如果你想忽略SELinux警告仍然运行应用程序,有以下几个方面:
SELinux作为一个允许的方式,只记录警告而不停止运行:setenforce 0。
设置一个单一的诠释过程中允许的方式而不是整个系统,例如,只是想运行Apache:semange允许一个允许的方式httpd_t
创建和加载自定义策略
参考了SELinux的调试器的建议。具体过程中根据情况的变化,并将在SELinux调试器的
详细描述。
原因四:程序被入侵
SELinux不是一个入侵
检测系统,所以SELinux的调试器无法区分入侵的时刻,但是当你
发现警告的内容包含以下几个特点,很有可能已经被黑客破解的过程。
尝试
关闭SELinux( / / SELinux等)或设置SELinux布尔值。
尝试加载内核模块,编写内核目录,或者引导程序映像。
一个文件,试图读shadow_t身份通常是包含在加密的帐户信息。
尝试重写写日志文件。
尝试
连接一个不需要的随机端口或邮件端口。
在这四种常见的警告的原因,最后,我希望你下次遇到SELinux警告,你可以处理它安全有效。顺便说一下,大部分的SELinux除错
工具的定位问题已经解决了。在简化版的童鞋可以看到警示内容简18在Fedora 18。