SELinux 是一种许可模式,可帮助避免在过渡到新的 RHEL7 服务器部署期间出现操作问题。虽然有些 SELinux 问题很容易审查和解决,但我觉得以下内容有些令人困惑。
AVC 如下:
type=AVC msg=audit(1533595368.668:140747): avc: denied { connectto } for pid=87400 comm="postdrop" path="/var/spool/postfix/public/pickup" scontext=system_u:system_r:postfix_postdrop_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=unix_stream_socket
audit2why 说:
type=AVC msg=audit(1533595368.668:140747): avc: denied { connectto } for pid=87400 comm="postdrop" path="/var/spool/postfix/public/pickup" scontext=system_u:system_r:postfix_postdrop_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=unix_stream_socket
Was caused by:
Missing type enforcement (TE) allow rule.
You can use audit2allow to generate a loadable module to allow this access.
audit2allow 说:
#============= postfix_postdrop_t ==============
#!!!! The file '/var/spool/postfix/public/pickup' is mislabeled on your system.
#!!!! Fix with $ restorecon -R -v /var/spool/postfix/public/pickup
allow postfix_postdrop_t unconfined_t:unix_stream_socket connectto;
该通知似乎暗示应该通过运行以下内容来纠正问题的某些部分:
# restorecon -R -v /var/spool/postfix/public/pickup
# ls -lZ /var/spool/postfix/public/pickup
srw-rw-rw-. postfix postfix unconfined_u:object_r:postfix_public_t:s0 /var/spool/postfix/public/pickup
然而,SELinux 审计记录的问题在完成后似乎没有改变,因此,显然还有更多工作要做。据推测,其中一些问题与 audit2allow 提及有关:
allow postfix_postdrop_t unconfined_t:unix_stream_socket connectto;
使用像 postfix 这样非常完善的服务的 SELinux 问题需要管理员干预,这似乎很奇怪。
解决问题的可能途径可能是:
# echo 'type=AVC msg=audit(1533595368.668:140747): avc: denied { connectto } for pid=87400 comm="postdrop" path="/var/spool/postfix/public/pickup" scontext=system_u:system_r:postfix_postdrop_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=unix_stream_socket' \
| audit2allow -M local_postfix_pickup
# semodule -i local_postfix_pickup.pp
也就是说,在没有更好地理解为什么这样的改变应该被认为是合法的情况下,简单地做一些事情来消除审计问题似乎是不明智的。
这真的是一个标签问题,还是只是缺少“允许”的副作用,并且,任何人都可以评论这是否是一个合法的、预期的更改,管理员应该必须做出以使 postfix 安装顺利运行在 SELinux 下?
请不要建议关闭 SELinux。当然,这是一种选择,但我更愿意学习如何让它保持开启状态,并学习如何在出现这种性质的问题时识别正确的行动方案。A
注意:上述audit2allow -M ..和semanage -i命令确实解决了 SELinux 问题而无需重新标记,但仍不清楚重新标记是否可能避免创建策略的需要。目前尚不清楚以这种方式解决问题是否是预期的和/或正常的。
#============= postfix_postdrop_t ==============
#!!!! This avc is allowed in the current policy
allow postfix_postdrop_t unconfined_t:unix_stream_socket connectto;
事实上,自从
restorecon使用了这些命令后,就不需要这些命令来解决 SELinux 问题:以下是尝试解决 SELinux 审计问题时的原因,希望和解释可以提供帮助。
在缓解步骤之前注意注意类型。在这种情况下:
unix_stream_socket
不幸的
ls -lZ /var/spool/postfix/public/pickup是,在命令运行之前没有restorecon运行,因为这将有助于获得理解。提示:在进行更改之前查看 SELinux 上下文。
注意运行后的 SELinux 类型
restorecon -R -v /var/spool/postfix/public/pickup:postfix_public_t
重要的是要注意确实发生了类型更改。
提示:当列出建议的
restorecon命令和单个allow规则时,缓解建议不太可能是替代解决方案(其中一个,不是两个,都可以解决问题)。请注意,
audit2allow输出已更改,因此建议的restorecon命令不再存在。当
audit2allow输出同时包含一个restorecon命令且只有一个rule更改时,在使用 进行缓解尝试后restorecon,问题很可能已解决。这里的关键是要意识到rule为 AVC 显示的内容不再相关,因为不再有任何理由要求关于不再使用的类型的规则。例如,在这种特定情况下,
postfix_postdrop_t当unix_stream_socket该套接字现在具有postfix_public_t.在任何其他类似的情况下,重要的是要记住 AVC 本身是针对历史事件的。由于 AVC 是针对历史事件的,因此应该记住,如果替代解决方案中的细节不再与事件发生时的系统状态相同,则可能不需要旧问题的替代解决方案。换句话说,一旦使用了命令,当建议不再存在
restorecon时,就没有必要期待“在当前策略中允许”消息。restorecon如果您仍然想知道不使用这两种缓解措施是否明智,请放心,如果确实需要两种缓解措施,那么未来的审计事件将会发生。
不使用多种缓解措施实际上有一个附带好处。请记住,SELinux 的全部意义在于限制进程访问它们实际需要的东西。如果进行了不必要的类型强制更改,则可
postfix_postdrop_t执行文件不再受限制访问unix_stream_socket与 running 无关的其他资源postfix,并且合法的运行时约束postfix将被破坏。这个问题的一个更合适的标题可能是:“当 audit2allow 建议 restorecon 和一个规则更改时,是否需要这两种缓解措施? ”