Quando o SELinux está desabilitado, não tenho problemas, mas quando é imposto, estou enfrentando isso
[systemd] failed to get d-bus session: Failed to connect to socket /run/dbus/system_bus_socket: Permission denied
Audit.log
sealert -a /var/log/audit/audit.log
100% done
found 2 alerts in /var/log/audit/audit.log
--------------------------------------------------------------------------------
SELinux is preventing /usr/sbin/zabbix_agentd from connectto access on the unix_stream_socket /run/dbus/system_bus_socket.
***** Plugin catchall (100. confidence) suggests **************************
If you believe that zabbix_agentd should be allowed connectto access on the system_bus_socket unix_stream_socket by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'zabbix_agentd' --raw | audit2allow -M my-zabbixagentd
# semodule -i my-zabbixagentd.pp
eu criei uma política como sugerido acima, reiniciei o zabbix-agent, agora do log do agente zabbix obtendo
[systemd] failed to get d-bus session: An SELinux policy prevents this sender from sending this message to this recipient, 0 matched rules; type="method_call", sender="(null)" (inactive) interface="org.freedesktop.DBus" member="Hello" error name="(unset)" requested_reply="0" destination="org.freedesktop.DBus" (bus)
sealert -a /var/log/audit/audit.log
39% donetype=AVC msg=audit(1534885076.573:250): avc: denied { connectto } for pid=10654 comm="zabbix_agentd" path="/run/dbus/system_bus_socket" scontext=system_u:system_r:zabbix_agent_t:s0 tcontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tclass=unix_stream_socket
**** Invalid AVC allowed in current policy ***
Bem, primeiro você precisa identificar a negação que está recebendo do SELinux. A maneira mais fácil (na minha opinião) de fazer isso é através do
sealertutilitário.Primeiro instale o
setroubleshoot-serverpacote com:Então corra:
Você provavelmente obterá muitos resultados, procurará sua negação específica e seguirá as recomendações. Mas certifique-se de NÃO permitir coisas que não deveriam ser permitidas!
Aqui está um exemplo de negação e a solução sugerida de
sealert(minha ênfase):O SELinux está impedindo /usr/libexec/postfix/qmgr de usar o acesso rlimitinh em um processo. ***** Plugin catchall (100. confiança) sugere ************************** você acredita que o qmgr deve ter acesso rlimitinh em processos rotulados como postfix_qmgr_t por padrão. Então você deve relatar isso como um bug. Você pode gerar um módulo de política local para permitir esse acesso. Fazer permita este acesso por enquanto executando: # ausearch -c 'qmgr' --raw | audit2allow -M meu-qmgr # semodule -i meu-qmgr.pp Informação adicional: Contexto de origem system_u:system_r:postfix_master_t:s0 Contexto de destino system_u:system_r:postfix_qmgr_t:s0 Objetos de destino desconhecidos [ processo ] Fonte qmgr Caminho de origem /usr/libexec/postfix/qmgr Porta Hospedeiro Pacotes RPM de origem postfix-2.10.1-6.el7.x86_64 Pacotes de RPM alvo Política RPM selinux-policy-3.13.1-102.el7_3.16.noarch Selinux Habilitado Verdadeiro Tipo de política segmentado Aplicação do modo de aplicação Nome do host centos Plataforma Linux centos 3.10.0-514.26.2.el7.x86_64 #1 SMP Ter 4 de julho 15:04:05 UTC 2017 x86_64 x86_64 Contagem de alerta 5 Visto pela primeira vez 2018-04-18 18:02:32 CEST Visto pela última vez 22/08/2018 09:11:22 CEST ID local 855f168c-1e47-4c6b-8a1e-f8fddce5d426O exemplo acima diz respeito ao Postfix, novamente; procure sua negação e insira uma política local.