Redhat

查看、比較和複製機器之間的 SELinux 配置?

  • July 19, 2016

我有兩台機器執行相同的 JBoss 和 HTTPD 設置。他們從完全相同的 RedHat 7 安裝開始,並遵循相同的過程在兩台機器上安裝所有內容。

在一台機器上,使用預設設置執行 SELinux 時一切正常。我從來沒有接觸過 SELinux。

在另一台機器上,當我嘗試在網路瀏覽器中訪問它時,我收到 403 禁止錯誤消息。當我在網上搜尋原因時,我發現了一個建議,我應該禁用 SELinux,然後看看它是否有效。所以我跑了setenforce 0,重新啟動了 jboss 和 httpd,刷新了我的瀏覽器,被禁止的消息消失了,一切都恢復了。我用 重新打開 SELinux setenforce 1,重新啟動應用程序,刷新瀏覽器,然後被禁止的消息又回來了。

所以在我的第二台機器上,SELinux 似乎肯定有什麼問題。這很奇怪,因為直到我嘗試在第二台機器上關閉它之前,我都沒有接觸過任何一台機器上的 SELinux。我已經驗證了在第一台機器上,當我執行時getenforce,它會返回Enforcing

我的問題是——如何查看每台機器上的 SELinux 配置?我如何比較它們,找出它們之間的差異,並編輯或複制它們,以便我可以在第二台機器上執行 SELinux 而不會干擾我的應用程序,就像在我的第一台機器上一樣?

編輯- 我執行這個命令來搜尋審計日誌:

cat /var/log/audit/audit.log | grep httpd | grep denied

第一行重複了幾次。最後兩行只在最後出現一次。

type=AVC msg=audit(1468877854.297:22110): avc:  denied  { getattr } for  pid=5193 comm="httpd" path="/var/www/html/sfo/index.htm" dev="dm-0" ino=70334613 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file
type=AVC msg=audit(1468877854.297:22111): avc:  denied  { read } for  pid=5193 comm="httpd" name="index.htm" dev="dm-0" ino=70334613 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file
type=AVC msg=audit(1468877854.297:22111): avc:  denied  { open } for  pid=5193 comm="httpd" path="/var/www/html/sfo/index.htm" dev="dm-0" ino=70334613 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:var_t:s0 tclass=file

我在執行 SELinux 的機器上沒有看到任何類似的消息,而沒有不正確地阻止頁面。兩台機器都為 /var、/var/www、/var/www/html、/var/www/html/sfo 和 /var/www/html/sfo/index.htm 設置了相同的權限標誌

所有目錄都有drwxr-xr-x,index.htm 文件有-rw-r--r--。所有都歸使用者 root 和組 root 所有。md5sum說 /etc/sudoers 是相同的。兩台機器上的 /etc/sudoers.d 中都沒有任何內容。

兩台機器的輸出相同getsebool -a | grep httpd

httpd_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_check_spam --> off
httpd_can_connect_ftp --> off
httpd_can_connect_ldap --> off
httpd_can_connect_mythtv --> off
httpd_can_connect_zabbix --> off
httpd_can_network_connect --> off
httpd_can_network_connect_cobbler --> off
httpd_can_network_connect_db --> off
httpd_can_network_memcache --> off
httpd_can_network_relay --> off
httpd_can_sendmail --> off
httpd_dbus_avahi --> off
httpd_dbus_sssd --> off
httpd_dontaudit_search_dirs --> off
httpd_enable_cgi --> on
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> off
httpd_execmem --> off
httpd_graceful_shutdown --> on
httpd_manage_ipa --> off
httpd_mod_auth_ntlm_winbind --> off
httpd_mod_auth_pam --> off
httpd_read_user_content --> off
httpd_run_stickshift --> off
httpd_serve_cobbler_files --> off
httpd_setrlimit --> off
httpd_ssi_exec --> off
httpd_sys_script_anon_write --> off
httpd_tmp_exec --> off
httpd_tty_comm --> off
httpd_unified --> off
httpd_use_cifs --> off
httpd_use_fusefs --> off
httpd_use_gpg --> off
httpd_use_nfs --> off
httpd_use_openstack --> off
httpd_use_sasl --> off
httpd_verify_dns --> off

使用 SELinux,文件系統具有超出正常 UNIX 權限的額外“權限”。如果您要在兩台機器下的文件上執行ls -Z ...-Z是 SELinux 擴展),我懷疑您會看到以下內容:ls(1)``/var/www/html

在伺服器 A 上:

drwxr-xr-x root root system_u:object_r:httpd_sys_content_t /var/www/html/

在伺服器 B 上:

drwxr-xr-x root root system_u:object_r:var_t /var/www/html/

等等

在伺服器 A 上,這正確標記為 Apache 在 SELinux 處於活動狀態時讀取該目錄。在伺服器 B 上,該目錄沒有正確標記,以便 Apache 在 SELinux 處於活動狀態時讀取它。

為了修復它,請先嘗試執行restorecon -Rvn /var/www/,它將向您展示如何更改文件系統以匹配目前執行的 SELinux 策略。如果這看起來很正常,請刪除-n標誌並重新執行。

還有一個有用的httpd_selinux(8)聯機幫助頁,其中記錄了有關 Apache 的 SELinux。

引用自:https://serverfault.com/questions/790567