当 SELinux 被禁用时,我没有任何问题,但是当它被强制执行时,我就面临这个问题
[systemd] failed to get d-bus session: Failed to connect to socket /run/dbus/system_bus_socket: Permission denied
审计日志
sealert -a /var/log/audit/audit.log
100% done
found 2 alerts in /var/log/audit/audit.log
--------------------------------------------------------------------------------
SELinux is preventing /usr/sbin/zabbix_agentd from connectto access on the unix_stream_socket /run/dbus/system_bus_socket.
***** Plugin catchall (100. confidence) suggests **************************
If you believe that zabbix_agentd should be allowed connectto access on the system_bus_socket unix_stream_socket by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'zabbix_agentd' --raw | audit2allow -M my-zabbixagentd
# semodule -i my-zabbixagentd.pp
我按照上面的建议创建了一个策略,重新启动了 zabbix-agent,现在从 zabbix 代理日志获取
[systemd] failed to get d-bus session: An SELinux policy prevents this sender from sending this message to this recipient, 0 matched rules; type="method_call", sender="(null)" (inactive) interface="org.freedesktop.DBus" member="Hello" error name="(unset)" requested_reply="0" destination="org.freedesktop.DBus" (bus)
sealert -a /var/log/audit/audit.log
39% donetype=AVC msg=audit(1534885076.573:250): avc: denied { connectto } for pid=10654 comm="zabbix_agentd" path="/run/dbus/system_bus_socket" scontext=system_u:system_r:zabbix_agent_t:s0 tcontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tclass=unix_stream_socket
**** Invalid AVC allowed in current policy ***
嗯,首先你必须确定你从 SELinux 得到的拒绝。最简单的(在我看来)方法是通过
sealert实用程序。首先安装
setroubleshoot-server软件包:然后运行:
你可能会得到很多输出,寻找你的具体拒绝,并遵循建议。但一定不要允许不应该允许的事情!
这是拒绝的示例,以及
sealert(我的重点)建议的解决方法:SELinux 正在阻止 /usr/libexec/postfix/qmgr 对进程使用 rlimitinh 访问。 ***** 插件包罗万象(100。信心)建议 ****************************** 您认为默认情况下应该允许 qmgr 对标记为 postfix_qmgr_t 的进程进行 rlimitinh 访问。 然后你应该将此报告为错误。 您可以生成本地策略模块以允许此访问。 做 通过执行以下命令暂时允许此访问: # ausearch -c 'qmgr' --raw | audit2allow -M my-qmgr # semodule -i my-qmgr.pp 附加信息: 源上下文 system_u:system_r:postfix_master_t:s0 目标上下文 system_u:system_r:postfix_qmgr_t:s0 目标对象未知 [ 进程 ] 来源 qmgr 源路径 /usr/libexec/postfix/qmgr 港口 主持人 源 RPM 包 postfix-2.10.1-6.el7.x86_64 目标 RPM 包 策略 RPM selinux-policy-3.13.1-102.el7_3.16.noarch Selinux 启用 True 目标策略类型 执行模式执行 主机名 centos 平台 Linux centos 3.10.0-514.26.2.el7.x86_64 #1 SMP Tue 2017 年 7 月 4 日 15:04:05 UTC x86_64 x86_64 警报计数 5 首次出现时间 2018-04-18 18:02:32 CEST 最后出现时间 2018-08-22 09:11:22 CEST 本地 ID 855f168c-1e47-4c6b-8a1e-f8fddce5d426上面的示例再次涉及 Postfix;查找您的拒绝,并插入本地策略。