web-dev-qa-db-ja.com

SELinux:pid = 2174 comm = "httpd" path = "/ etc / httpd / lib /libaprutil-1.so.0.5.3"の{execute}を拒否しました

SELinuxに問題があります。 setroubleshootは、Apacheを実行できるようにmypol.ppsemodule -i mypol.ppで有効にすることを提案しました。

提案されたコマンドを実行した後、私は取得し続けます:

type=AVC msg=audit(1388119964.806:11): avc:  denied  { execute } for  pid=2174 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" dev=md0 ino=2228931 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_config_t:s0 tclass=file

**** Invalid AVC allowed in current policy ***

type=AVC msg=audit(1388120085.792:29): avc:  denied  { execute } for  pid=2298 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" dev=md0 ino=2228931 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_config_t:s0 tclass=file

**** Invalid AVC allowed in current policy ***

type=AVC msg=audit(1388120159.57:37): avc:  denied  { execute } for  pid=2330 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" dev=md0 ino=2228931 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_config_t:s0 tclass=file

**** Invalid AVC allowed in current policy ***

type=AVC msg=audit(1388121088.955:65): avc:  denied  { name_connect } for  pid=2331 comm="httpd" dest=8080 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:http_cache_port_t:s0 tclass=tcp_socket

**** Invalid AVC allowed in current policy ***

found 0 alerts in /var/log/audit/audit.log
2
Orlo

**** Invalid AVC allowed in current policy ***メッセージについてはわかりませんが、 ここでのQ&A すでにあります

あなたが提供するテキストを実行する audit2allow 提案

#============= httpd_t ==============

allow httpd_t http_cache_port_t:tcp_socket name_connect;
allow httpd_t httpd_config_t:file execute;

したがって、grepを使用して、関連するAVC拒否メッセージを一時ファイルに引き出し、それをaudit2allowに渡すことができます。

grep denied: audit.log | grep httpd >temp.log

cat temp.log | audit2allow -M myHTTPD
******************** IMPORTANT ***********************
To make this policy package active, execute:

semodule -i myHTTPD.pp

MyHTTPD.ppをインストールした後でも、SElinuxがhttpdの起動を停止する場合があります。これは、以前の(現在許可されている)拒否が後の拒否をマスクしなくなったためです。上記のプロセスを毎回繰り返すだけです。

1
user9517