我有一个自定义的 Zabbix 用户参数,用于调用硬件 RAID CLI 工具 (arcconf / megacli) 并检查是否有任何阵列降级。由于这些工具仅限 root 用户使用,因此我已配置 sudoers 以允许 zabbix 用户无需密码即可访问:
Defaults:zabbix !requiretty
Cmnd_Alias ZABBIX_MEGACLI_CMDS = /opt/MegaRAID/MegaCli/MegaCli64 -LDInfo -Lall -aALL
zabbix ALL = (ALL) NOPASSWD: ZABBIX_MEGACLI_CMDS
在 CentOS 5 上,zabbix_agentd 不受限制地运行,一切正常。在 CentOS 6 上,代理现在在单独的 zabbix_agent_t 域中运行。这导致了问题。最初 sudo 二进制文件本身无法执行,但我添加了此策略:
sudo_exec(zabbix_agent_t)
现在它以不同的方式消亡:
type=AVC msg=audit(1407137597.193:157): avc: denied { create } for pid=3145 comm="sudo" scontext=unconfined_u:system_r:zabbix_agent_t:s0 tcontext=unconfined_u:system_r:zabbix_agent_t:s0 tclass=unix_dgram_socket
type=SYSCALL msg=audit(1407137597.193:157): arch=c000003e syscall=41 success=no exit=-13 a0=1 a1=80002 a2=0 a3=1 items=0 ppid=3121 pid=3145 auid=0 uid=496 gid=495 euid=0 suid=0 fsuid=0 egid=495 sgid=495 fsgid=495 tty=(none) ses=3 comm="sudo" exe="/usr/bin/sudo" subj=unconfined_u:system_r:zabbix_agent_t:s0 key=(null)
type=AVC msg=audit(1407137597.193:158): avc: denied { create } for pid=3145 comm="sudo" scontext=unconfined_u:system_r:zabbix_agent_t:s0 tcontext=unconfined_u:system_r:zabbix_agent_t:s0 tclass=netlink_audit_socket
type=SYSCALL msg=audit(1407137597.193:158): arch=c000003e syscall=41 success=no exit=-13 a0=10 a1=3 a2=9 a3=7fffce049a20 items=0 ppid=3121 pid=3145 auid=0 uid=496 gid=495 euid=0 suid=0 fsuid=0 egid=495 sgid=495 fsgid=495 tty=(none) ses=3 comm="sudo" exe="/usr/bin/sudo" subj=unconfined_u:system_r:zabbix_agent_t:s0 key=(null)
这是正确的做法吗?我还可以添加哪些其他策略以便 zabbix_agent_t 可以运行 sudo?如果 sudo 有效,它是否仍会限制在 zabbix_agent_t 域内,还是我应该将例如添加TYPE=unconfined_t
到 sudoers 行?我应该采用https://bugzilla.redhat.com/show_bug.cgi?id=917157和 s/nrpe_t/zabbix_agent_t/?
编辑:
不确定这是否是最好的主意但是...
sudo_exec(zabbix_agent_t)
domtrans_pattern(zabbix_agent_t, sudo_exec_t, unconfined_t)
似乎有效。我想最坏的情况是它依赖于 sudo 和 sudoers 文件的安全性。
答案1
处理此问题的方法是收集有关程序所需访问的所有信息,然后在自定义策略模块中明确允许仅该访问。
这是相当容易做到的。
首先你设置域允许,因此 SELinux 暂时不会强制执行其规则。它仍将日志拒绝,稍后您将使用这些日志。
semanage permissive -a zabbix_agent_t
接下来,让程序运行并让它执行所需的任何操作。审计日志将填满被拒绝的内容,这些日志还会显示需要授予哪些权限。然后使用以下方式查看这些日志ausearch
。
ausearch -r -m avc -ts today
出色地生成本地策略模块包含必要的权限。(您需要在此处使用-r
带有的选项ausearch
,以便其他脚本可以处理输出。)
如果您看到明显不相关的条目,请将输出重定向到文件,然后编辑它以删除它们。然后改用此处的文件。
ausearch -r -m avc -ts today | audit2allow -M zabbix_megacli
最后,我们安装新的本地策略模块并重新启用 SELinux 执行。
semodule -i zabbix_megacli.pp
semanage permissive -d zabbix_agent_t