SELinux 干扰 sss_cache
Ung*_*uer 4 fedora rhel selinux sssd
系统:
- HP Pavilion 笔记本电脑 15-cb0xx
- 启用集成显卡的英特尔 i7-7700HQ(无法在 bios 中关闭)
- 软呢帽 28
- NVIDIA GTX 1050(移动)
我使用dnfdragoraGUI 更新了大约 119 个包(我有一段时间忘记更新了:/)。在某些时候,我收到了来自 SELinux 的通知:
SELinux is preventing sss_cache from write access on the directory /var/lib/sss/db/
我挖过/var/log/messages和/var/log/audit/audit.log,发现同样的东西,SELinux的告诉我。
在这一切都结束后,我注意到事情进展得很慢,所以我重新启动了。重启速度较慢,尤其是在加载 Fedora 徽标、加载登录 GUI 以及加载桌面时。额外的重新启动没有解决任何问题。
通过查看联机帮助页,sss_cache我了解了它的作用以及它与系统安全服务守护程序 (SSSD) 一起使用的要点。
这是 SELinux 对话框告诉我的:
我知道这会通知维护者一个潜在的错误,并且政策更改将阻止 SELinux 在未来对 sss_cache 发出警报。我对 SELinux 一无所知,只是它为 Linux 系统提供了添加/可配置的安全附加功能。但是,我仍然不明白为什么会发生这种情况,或者是否有其他可能更好的解决方案。我也不清楚这是否会解决我注意到的减速问题。
谁能告诉我:
- 为什么会发生这种情况?我可以猜测 SELinux 认为任何与 SSSD 相关的东西都非常重要,但为什么它不知道与 SSSD 一起使用的实用程序?
- 我应该报告错误并创建本地策略模块,还是其他什么?
- 我是否应该撤消导致所有这些的事务并以较小的组更新包?它甚至可以解决问题吗?
- 这是否会导致我上面提到的减速问题?我从使用虚拟机(特别是在 VirtualBox 中扩展存储空间)中了解到,保留旧条目
/etc/fstab会减慢启动速度,因为系统正在寻找不存在的东西。这里有类似的事情吗?
我不愿意在没有附加信息的情况下做屏幕上的话。我不想在没有意识到的情况下在炸弹坑上贴上创可贴。
(要求的附加信息):我应该说:/var/lib/sss/db/是一个目录。
ls -Z /var/lib/sss/输出db/:system_u:object_r:sssd_var_lib_t:s0
摘录自audit.log(包括夹在两个相关行之间的潜在无关行):
type=AVC msg=audit(1543865969.237:241): avc: denied { write } for pid=18065 comm="sss_cache" name="db" dev="sdb2" ino=787765 scontext=system_u:system_r:groupadd_t:s0 tcontext=system_u:object_r:sssd_var_lib_t:s0 tclass=dir permissive=0
type=GRP_MGMT msg=audit(1543865969.239:242): pid=18062 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:groupadd_t:s0 msg='op=modify-group acct="rpcuser" exe="/usr/sbin/groupmod" hostname=? addr=? terminal=? res=success'
type=AVC msg=audit(1543865969.264:243): avc: denied { write } for pid=18067 comm="sss_cache" name="db" dev="sdb2" ino=787765 scontext=system_u:system_r:groupadd_t:s0 tcontext=system_u:object_r:sssd_var_lib_t:s0 tclass=dir permissive=0
ls -Z /usr/sbin/sss_cache(通过 找到的位置which sss_cache)的输出:
system_u:object_r:bin_t:s0
原来“详细信息”窗口有很多信息:
| 归档时间: |
|
| 查看次数: |
401 次 |
| 最近记录: |