主页 / user-67368

Dan Pritts's questions

Martin Hope
Dan Pritts
Asked: 2017-01-26 14:29:59 +0800 CST
  • 0

我正在尝试将 sshd 设置为在 RHEL7 服务器上的 xinetd 下运行。我在备用端口上运行 sshd,使用 xinetd 来限制可以连接的 IP。

如果我禁用 SELinux,这在 RHEL6 和 RHEL7 上都可以正常工作。但是,RHEL7 上的目标 SELinux 策略正在阻止它。

不幸的是,当它失败时,它在 /var/log/audit 中并没有多大用处。我的连接尝试产生了两行成功的 CRYPTO_KEY_USER 操作,然后是这个(单行,我已经包装了):

type=USER_LOGIN msg=audit(1485378997.248:18523): pid=6812 uid=0 
auid=4294967295 ses=4294967295 
subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 
msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" 
hostname=? addr=A.B.C.D terminal=ssh res=failed'

audit2why甚至不承认存在问题。我猜它正在寻找 DENY 事件或类似的东西,而不是失败。

我将调试日志添加到 sshd 并找到了这个(这次没有包装):

debug1: SELinux support enabled [preauth]
debug3: ssh_selinux_change_context: setting context from 'system_u:system_r:sshd_t:s0-s0:c0.c1023' to 'system_u:system_r:sshd_net_t:s0-s0:c0.c1023' [preauth]
debug3: privsep user:group 74:74 [preauth]
debug1: permanently_set_uid: 74/74 [preauth]
debug1: list_hostkey_types: ssh-rsa [preauth]
debug1: SSH2_MSG_KEXINIT sent [preauth]
Write failed: Permission denied [preauth]

我想这是我的问题 - 从 sshd_t 到 sshd_net_t 的转换。然而,在没有任何来自审计日志的有用信息的情况下,我已经达到了我的 SElinux 调试技能的极限。

一位同事建议我在许可模式下查看成功连接的审核日志。不幸的是,没有提到 sshd_net_t 的成功操作。以下是相关的日志条目: http: //pastebin.com/raw/9sSVpgLq

我确实在 redhat bug tracker 上看到了一些相关信息,但它并没有让我对解决方案走得太远。https://bugzilla.redhat.com/show_bug.cgi?id=1008580

ssh selinux rhel7
Martin Hope
Dan Pritts
Asked: 2015-06-25 07:36:37 +0800 CST
  • 2

在我的 RHEL5 系统上,我安装更新后 sendmail 停止工作。新版本是 sendmail-8.13.8-10.el5_11。我在日志中遇到这样的错误:

NOQUEUE: SYSERR(nobody): can not write to queue directory /var/spool/clientmqueue/

当我尝试从命令行发送邮件时就像这样:

WARNING: RunAsUser for MSP ignored, check group ids (egid=53, want=51)
can not write to queue directory /var/spool/clientmqueue/ (RunAsGid=0, required=53): Permission denied

它工作(多年)直到更新。

redhat
Martin Hope
Dan Pritts
Asked: 2013-07-30 09:21:46 +0800 CST
  • 5

我最近将一些 java 应用程序转换为使用 linux 手动配置的大页面运行,如此处所述。我指出“手动配置”是因为它们不是 透明的大页面,这给我们带来了一些性能问题

所以现在,我在一个系统上运行了大约 10 个 tomcat,我很想知道每个 tomcat 使用了多少内存。

我可以按照Linux Huge Pages Usage Accounting/proc/meminfo中的描述获取摘要信息。

但我找不到任何工具可以告诉我实际的每个进程的大页面使用情况。

我四处/proc/pid/numa_stat寻找,发现了一些有趣的信息,这些信息使我感到如此粗暴:

function pshugepage () {
    HUGEPAGECOUNT=0
    for num in `grep 'anon_hugepage.*dirty=' /proc/$@/numa_maps | awk '{print $6}' | sed 's/dirty=//'` ; do
        HUGEPAGECOUNT=$((HUGEPAGECOUNT+num))
    done
    echo process $@ using $HUGEPAGECOUNT huge pages
}

或者这个,在 perl 中:

sub counthugepages {
    my $pid=$_[0];
    open (NUMAMAPS, "/proc/$pid/numa_maps") || die "can't open numa_maps";
    my $HUGEPAGECOUNT=0;
    while (my $line=<NUMAMAPS>) {
        next unless ($line =~ m{ huge }) ;
        next unless ($line =~ m{dirty=});
        chomp $line;
        $line =~ s{.*dirty=}{};
        $line =~ s{\s.*$}{};
        $HUGEPAGECOUNT+=$line;
    }
    close NUMAMAPS;
    # we want megabytes out, but we counted 2-megabyte hugepages
    return ($HUGEPAGECOUNT*2);
}

它给我的数字是合理的,但我远不相信这种方法是正确的。

环境是四核戴尔,64GB 内存,RHEL6.3,oracle jdk 1.7.x(当前为 20130728)

linux-kernel