SElinux 错误的查看处理 ,开启SElinux使用zabbix

Posted 2020-11-16 GYbin

本文章所使用的方法均来源于网络，参考的地址如下

使用的操作系统为centos7 

https://blog.csdn.net/lpc1162303536/article/details/98315658
https://www.cnblogs.com/langdashu/p/5239109.html
https://blog.csdn.net/fanper/article/details/79707461
https://www.cnblogs.com/davidshen/p/8145946.html
https://blog.51cto.com/youngman/1650649 （原文链接已经失效，查看使用的百度快照）
https://www.cnblogs.com/mousean/p/6025220.html
https://www.runoob.com/linux/linux-comm-tail.html
https://my.oschina.net/u/3367404/blog/2874899
等等吧...

遇到SElinux阻止的问题先 查看错误日志的文件

在两个地方

/var/log/audit/audit.log #只会说明错误，但是不会提供解决办法，且阅读复杂
/var/log/messages #文件可以详细的记录错误，并且提供解决方法，但是有时候却没有记录

查看日志的方法
　　tail -f /var/log/messages
　　tail -f /var/log/audit/audit.log //-f参数 滚动查看

sealert -a /var/log/audit/audit.log （命令安装如下）

安装 sealert 命令：

yum install setools

使用方式参考了

https://blog.csdn.net/lpc1162303536/article/details/98315658

 

 开启SElinux 运行zabbix 需要设置

//允许使用10051端口
semanage port -a -t http_port_t -p tcp 10051

//这个好像是生成规则的
grep fping /var/log/audit/audit.log | audit2allow -M zabbix_fping
semodule -i zabbix_fping.pp

//允许httpd_访问网络
setsebool -P httpd_can_network_connect 1
getsebool httpd_can_network_connect //查看状态



参考的网址
https://www.cnblogs.com/langdashu/p/5239109.html
https://www.zabbix.org/wiki/InstallOnCentOS_6.x_RHEL_6.x
https://www.cnblogs.com/mousean/p/6025220.html
https://blog.csdn.net/fanper/article/details/79707461

 

semodule命令和audit2allow 安装如下

yum provides semanage
yum -y install policycoreutils-python.x86_64

 ---------20200505 更新

Selinux 上下文查看

 #ls-Z

 system_u:object_r:public_content_t:s0 /var/ftp

第一个  system_u 表示用户 使用命令 chcon -u 修改
第一个  system_r 表示角色 使用命令 chcon -r 修改
第一个  system_t 表示类型 使用命令 chcon -t 修改


security.selinux="system_u:object_r:admin_home_t:s0"


使用chcon命令修改文件的SELinux安全上下文

-h, --no-dereference：影响符号连接而非引用的文件。

--reference=参考文件：使用指定参考文件的安全环境，而非指定值。

-R, --recursive：递归处理所有的文件及子目录。

-v, --verbose：为处理的所有文件显示诊断信息。

-u, --user=用户：设置指定用户的目标安全环境。

-r, --role=角色：设置指定角色的目标安全环境。

-t, --type=类型：设置指定类型的目标安全环境。

-l, --range=范围：设置指定范围的目标安全环境。

解决方法二，开启httpd_can_network_connect：
[root@myloac ~]# getsebool httpd_can_network_connect
httpd_can_network_connect --> off

[root@myloac ~]# setsebool -P httpd_can_network_connect 1
或
[root@myloac ~]# setsebool -P httpd_can_network_connect on