SELinux 阻止 zabbix_agentd 的 sudo

我有一个自定义的 Zabbix 用户参数，用于调用硬件 RAID CLI 工具 (arcconf / megacli) 并检查是否有任何阵列降级。由于这些工具仅限 root 用户使用，因此我已配置 sudoers 以允许 zabbix 用户无需密码即可访问：

Defaults:zabbix !requiretty
Cmnd_Alias ZABBIX_MEGACLI_CMDS = /opt/MegaRAID/MegaCli/MegaCli64 -LDInfo -Lall -aALL
zabbix  ALL     = (ALL) NOPASSWD: ZABBIX_MEGACLI_CMDS

在 CentOS 5 上，zabbix_agentd 不受限制地运行，一切正常。在 CentOS 6 上，代理现在在单独的 zabbix_agent_t 域中运行。这导致了问题。最初 sudo 二进制文件本身无法执行，但我添加了此策略：

sudo_exec(zabbix_agent_t)

现在它以不同的方式消亡：

type=AVC msg=audit(1407137597.193:157): avc:  denied  { create } for  pid=3145 comm="sudo" scontext=unconfined_u:system_r:zabbix_agent_t:s0 tcontext=unconfined_u:system_r:zabbix_agent_t:s0 tclass=unix_dgram_socket
type=SYSCALL msg=audit(1407137597.193:157): arch=c000003e syscall=41 success=no exit=-13 a0=1 a1=80002 a2=0 a3=1 items=0 ppid=3121 pid=3145 auid=0 uid=496 gid=495 euid=0 suid=0 fsuid=0 egid=495 sgid=495 fsgid=495 tty=(none) ses=3 comm="sudo" exe="/usr/bin/sudo" subj=unconfined_u:system_r:zabbix_agent_t:s0 key=(null)
type=AVC msg=audit(1407137597.193:158): avc:  denied  { create } for  pid=3145 comm="sudo" scontext=unconfined_u:system_r:zabbix_agent_t:s0 tcontext=unconfined_u:system_r:zabbix_agent_t:s0 tclass=netlink_audit_socket
type=SYSCALL msg=audit(1407137597.193:158): arch=c000003e syscall=41 success=no exit=-13 a0=10 a1=3 a2=9 a3=7fffce049a20 items=0 ppid=3121 pid=3145 auid=0 uid=496 gid=495 euid=0 suid=0 fsuid=0 egid=495 sgid=495 fsgid=495 tty=(none) ses=3 comm="sudo" exe="/usr/bin/sudo" subj=unconfined_u:system_r:zabbix_agent_t:s0 key=(null)

这是正确的做法吗？我还可以添加哪些其他策略以便 zabbix_agent_t 可以运行 sudo？如果 sudo 有效，它是否仍会限制在 zabbix_agent_t 域内，还是我应该将例如添加TYPE=unconfined_t到 sudoers 行？我应该采用https://bugzilla.redhat.com/show_bug.cgi?id=917157和 s/nrpe_t/zabbix_agent_t/?

编辑：

不确定这是否是最好的主意但是...

sudo_exec(zabbix_agent_t)
domtrans_pattern(zabbix_agent_t, sudo_exec_t, unconfined_t)

似乎有效。我想最坏的情况是它依赖于 sudo 和 sudoers 文件的安全性。