Почему selinux запрещает запуск сервисов от default_t?

Создан новый каталог верхнего уровня, получив метку по умолчанию для новых каталогов верхнего уровня, default_t .

SELinux отказывает в запуске службы, если ExecStart – это программа, созданная в новом каталоге верхнего уровня ( /ansible-managed/ ).

  • Как автоматически войти в систему с пользователем root в Fedora?
  • Консоль Linux Shift + PgUp больше не работает
  • Все работает, кроме Fedora
  • Как указать пакеты RPM, установленные в порядке установки
  • Fedora 25 - Исправить сломанное судо
  • SELINUX не включит
  • Есть ли цель этого отрицания?

    sealert предположил, что любая из следующих надписей была бы разрешена:

    • bin_t
    • boot_t
    • etc_runtime_t
    • etc_t
    • initrc_state_t
    • ld_so_t
    • lib_t
    • src_t
    • system_con
    • system_db_t
    • textrel_shlib_t
    • tmpfs_t
    • usr_t
    • var_run_t

    поэтому мы можем исключить возможность того, что он блокирует кого-то, запускающего демона, из пользовательского места записи, например /dev/shm tmpfs_t ( tmpfs_t ).


    Политика SELinux: selinux-policy-targ-3.13.1-225.18.fc25.noarch

  • можно ли запустить ядро ​​ubuntu на корневую файловую систему fedora?
  • Выполнить скрипт автоматически при выключении Fedora 15/16
  • Загружаются ли пакеты с нескольких зеркальных сайтов?
  • Цикл выпуска репозитория Fedora?
  • Ищете что-то вроде gnome2 погодных часов для KDE
  • live USB linux на macbook pro в середине 2012 года
  • 2 Solutions collect form web for “Почему selinux запрещает запуск сервисов от default_t?”

    Политика SELinux существует для определения политик того, что разрешено в системе. Когда вы создаете несколько разных файлов с общими метками, эта политика вполне разрешима, но предотвращает некоторые потенциальные угрозы.

    Единственная угроза не запускает что-то из /dev/shm , но запуск чего-то из потенциально загружаемых пользователем каталогов может быть очень опасным (особенно в случае, если демона работает как корень, не так ли?).

    Как правило, все новые службы / демоны в Fedora должны иметь некоторую политику SELinux, поэтому SELinux имеет хотя бы некоторый контроль над ними. Я бы порекомендовал вам сделать это, если это какое-то долгое время.

    Если это должна быть специальная служба, просто назначьте ей некоторую общую метку bin_t , которая должна это сделать. Или установите двоичные файлы в /opt/your-path/(s)bin/ и, возможно, настройте политику, чтобы правильно получить метки в дереве каталогов.

    поэтому мы можем исключить возможность того, что он блокирует кого-то, запускающего демона, из пользовательского места записи, например / dev / shm (tmpfs_t).

    неправильно.

    / dev / shm / помечен как tmpfs_t , но когда пользователь создает файл в /dev/shm/ он помечен как user_tmp_t .

    Linux и Unix - лучшая ОС в мире.