有没有办法查看应用于 SELinux 的所有自定义策略,最好将它们全部汇总到一个策略“包”中?
当某个进程(来自 logrotate 脚本的 awstats 更新,FWIW)试图运行时,我刚刚花了上周左右的时间解决了一系列 SELinux 错误。在 SELinux 处于许可模式时,我会等待 logrotate 运行,查看审计日志中的 SELinux 块,运行 audit2allow 以创建允许策略,然后在第二天重复该过程,并提供一个全新的相关错误列表。最后,今天早上审计日志变得干净了,所以我认为我已经制定了所有必需的规则来允许脚本正常运行。
当然,当我彻底完成这个过程时,我并没有想到,所以我没有在此过程中创建所有 .pp/.te 文件。所以我想做的是将所有当前活动的自定义策略从 SELinux 中拉回来,这样我就可以有一个备份副本用于其他机器或恢复。这可能吗?
编辑:这是在运行 CentOS 6.7 的机器上,如果这有区别的话
我在我的centos机器上配置了sshd_conf,如下所示:
Match group pilots
ChrootDirectory /home/pilots
ForceCommand internal-sftp
X11Forwarding no
AllowTcpForwarding no
目录 /home/pilots 如下所示:
# ls -al /home/pilots
total 12
drwxr-x---. 3 root pilots 4096 Mar 10 14:20 .
drwxr-xr-x. 7 root root 4096 Mar 10 14:10 ..
drwxrwxr-x. 2 root pilots 4096 Mar 10 15:21 data
-rwxrwxrwx. 1 root root 0 Mar 10 14:20 topLevel
#
如果我在没有启用 ChrootDirectory 指令的情况下以飞行员组中的用户身份进行 sftp,我可以 cd 到 /home/pilots 文件夹(或其子目录)并毫无困难地执行 ls 或 get 操作。但是,如果我启用 ChrootDirectory 指令,虽然我仍然可以 sftp 进入,并且可以 cd 到数据,但我无法执行 ls 或进入任一目录。例如,尝试 ls 会给出一个 …
是否可以将 Nginx 配置为代理到 uwsgi 服务器 ( ),如果 uwsgi 服务器不可用,则uwsgi_pass回退到标准 http 代理 ( )?proxy_pass
我的开发环境在给定端口上作为标准 HTTP 服务器运行,但在生产中它将在 uWSGI 套接字下运行。我希望能够开发我的应用程序,然后(仍在我的开发机器上)在 uwsgi 服务器下启动应用程序进行测试,而不必每次都切换我的 nginx 配置。如果 nginx 可以配置为尝试使用 uwsgi_pass,但如果出现错误(因为 uwsgi 服务器未运行),则回退到 proxy_pass,那将是理想的选择。
我还可以看到这在生产环境中很方便:通常,只需代理到本地 uwsgi 套接字,但如果由于某种原因不起作用(对于不起作用的某些任意定义),则代理到其他地方的某些辅助 http 服务器。不过,目前对我来说只是为了让开发更方便。