SELinux blockiert getty vom Lesen von / etc / issue

432
the_rover

Ich habe vor kurzem meinen Hostnamen geändert und nach dem Neustart mit dem neuen Hostnamen wurde / etc / issue auf dem Anmeldebildschirm nicht mehr angezeigt. Ich habe selinux vorübergehend deaktiviert und / etc / issue wurde erneut angezeigt. Nach dem erneuten Aktivieren von selinux wurde die Anzeige von / etc / issue erneut angehalten. Kann mir jemand sagen, was los ist und wie man es reparieren kann?

Vielen Dank.

0

1 Antwort auf die Frage

1
nKn

Am einfachsten ist es jedoch, SELinux zu deaktivieren, was ich jedoch nicht empfehlen kann:

setenforce 0

Sie können auch eine Regel erstellen, die das Schreiben, Ausführen oder das, was sie tun muss und das bisher blockiert ist, zulässt. Überprüfen Sie dazu Ihre Systemprotokolldatei und kopieren Sie die Zeile, die "abgelehnt" ist. Es sollte etwa so aussehen:

audit(...): avc: denied { write } for pid=27984 comm="hostname" name="hostname" dev=sda6 ino=307469 scontext=root:system_r:system_r:s0 tcontext=system_u:object_r:usr_t:s0 tclass=...

Kopieren Sie es und führen Sie den folgenden Befehl aus:

audit2allow -M local << _EOF_ (paste the content) _EOF_

Dann renne:

semodule -i local.pp

Dadurch wird eine permanente Regel erstellt, sodass Sie SELinux nicht deaktivieren müssen. Selbst wenn Sie mehr als eine deniedZeile haben, können Sie alle Zeilen auf einmal einfügen und audit2allowgenerieren so viele Regeln, wie Sie in Ihrer local.ppDatei benötigen .

Auf diese Weise wird der AVC zwar nicht verweigert, er beantwortet jedoch nicht die Frage "Warum hat die Datei einen schlechten Kontext erhalten?". Zuerst: ls -lZ / etc / issue und prüfen Sie das Audit-Protokoll auf die genaue AVC-Nachricht. Ändern Sie dann den Dateikontext mit restorecon oder chcon, um dem erwarteten SELinux-Kontext zu entsprechen. tonioc vor 8 Jahren 0
Ich mag deine Antwort, aber ich weiß sehr wenig über SELinux. Was ist -lZ? the_rover vor 8 Jahren 0

Verwandte Probleme