当 SELinux 被禁用时,我没有任何问题,但是当它被强制执行时,我会面临这个问题
[systemd] failed to get d-bus session: Failed to connect to socket /run/dbus/system_bus_socket: Permission denied
审计日志
sealert -a /var/log/audit/audit.log
100% done
found 2 alerts in /var/log/audit/audit.log
--------------------------------------------------------------------------------
SELinux is preventing /usr/sbin/zabbix_agentd from connectto access on the unix_stream_socket /run/dbus/system_bus_socket.
***** Plugin catchall (100. confidence) suggests **************************
If you believe that zabbix_agentd should be allowed connectto access on the system_bus_socket unix_stream_socket by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'zabbix_agentd' --raw | audit2allow -M my-zabbixagentd
# semodule -i my-zabbixagentd.pp
我按照上面的建议创建了一个策略,重新启动了zabbix-agent,现在从zabbix代理日志中获取
[systemd] failed to get d-bus session: An SELinux policy prevents this sender from sending this message to this recipient, 0 matched rules; type="method_call", sender="(null)" (inactive) interface="org.freedesktop.DBus" member="Hello" error name="(unset)" requested_reply="0" destination="org.freedesktop.DBus" (bus)
sealert -a /var/log/audit/audit.log
39% donetype=AVC msg=audit(1534885076.573:250): avc: denied { connectto } for pid=10654 comm="zabbix_agentd" path="/run/dbus/system_bus_socket" scontext=system_u:system_r:zabbix_agent_t:s0 tcontext=system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 tclass=unix_stream_socket
**** Invalid AVC allowed in current policy ***
答案1
嗯,首先你必须确认您从 SELinux 得到的拒绝。最简单的(在我看来)方法是通过sealert实用程序。
首先使用以下命令安装setroubleshoot-server包:
yum install setroubleshoot-server
然后运行:
sealert -a /var/log/audit/audit.log
你可能会得到很多输出,寻找你的具体拒绝,并遵循建议。但一定不要允许不应该允许的事情!
这是一个否认的例子,以及sealert(我的重点)建议的解决方法:
SELinux 正在阻止 /usr/libexec/postfix/qmgr 对进程使用 rlimitinh 访问。
***** 插件包罗万象(100. 置信度)建议 **************************
您认为默认情况下应该允许 qmgr 对标记为 postfix_qmgr_t 的进程进行 rlimitinh 访问。
那么您应该将此报告为错误。
您可以生成本地策略模块以允许此访问。
做
通过执行以下命令暂时允许此访问:
# ausearch -c 'qmgr' --raw | audit2allow -M my-qmgr
# semodule -i my-qmgr.pp
附加信息:
源上下文 system_u:system_r:postfix_master_t:s0
目标上下文 system_u:system_r:postfix_qmgr_t:s0
目标对象未知 [过程]
源qmgr
源路径 /usr/libexec/postfix/qmgr
港口
主持人
源 RPM 包 postfix-2.10.1-6.el7.x86_64
目标 RPM 包
策略 RPM selinux-policy-3.13.1-102.el7_3.16.noarch
Selinux 启用 True
政策类型目标
强制模式 强制
主机名 centos
平台 Linux centos 3.10.0-514.26.2.el7.x86_64 #1 SMP 周二
7 月 4 日 15:04:05 世界标准时间 2017 x86_64 x86_64
警报计数 5
首次出现时间 2018-04-18 18:02:32 CEST
最后出现时间 2018-08-22 09:11:22 CEST
本地 ID 855f168c-1e47-4c6b-8a1e-f8fddce5d426
上面的例子又是关于 Postfix 的;寻找你的拒绝,并插入本地策略。