Вопросы Теги

Как добавить исключение в SELinux?

NM_Controlled опцией будет Network Manager, и это будет означать, что вы будете управлять интерфейсами через Network Manager вместо методов ifup и ifdown.

Опция включения Bridged vs Nat в параметр virtalbox назначит отдельный ip-адрес виртуальной машине в той же ip-сети, что и физическая машина, в то время как опция nat будет преобразовывать ip виртуальной машины в виртуальной сети (в виртуальном ящике) в ip-адрес физических машин. Это тот же подход, что и NAT в домашней локальной сети, подключающейся к Интернету через один маршрутизатор.

Разрешение DNS важно установить, если подключение не использует DHCP для настройки сетевого интерфейса. Если используется DHCP, то сервер DHCP обеспечивает (или должен) это сделать. В домашней локальной сети, которая была бы вашим интернет-маршрутизатором, в корпоративной сети это был бы ваш назначенный DHCP-сервер, при настройке виртуальной машины внутри VirtureBox, однако, возможно, потребуется настроить ее внутри VirtureBox.

Не забудьте настроить прокси, если у вас нет прямого доступа к Интернету, если вы хотите работать.

Я надеюсь, что это поможет, у меня есть другие проблемы с настройкой CentOS после минимальной установки на физическом сервере в корпоративной среде.

-121--291290-

Я получил его, добавив прокси- тэга в файл yum.conf , который изначально отсутствовал.

-121--291182-

Я полагаю, мы говорим об архитектуре x86.

Нельзя использовать самодифицирующийся код в защищенном режиме , который используется большинством операционных систем на основе UNIX (и не только), о котором я знаю, поскольку сегменты кода всегда доступны только для чтения . Загрузчик не управляет этим - это то, что обрабатывается подсистемой управления памятью ядра.

Но даже если бы вы могли «создать код для этой таблицы во время загрузки», как вы говорите, это противоречило бы целому назначению общих библиотек. Таким образом, каждый процесс будет иметь «закрытую» копию функций библиотеки в своем адресном пространстве, эффективно увеличивая объем памяти - одной из причин, по которой были созданы общие библиотеки, было решение этой проблемы.

Весь процесс, который вы описываете, довольно сложен, и он будет стоить больше циклов обработки, чем метод PLT, который используется в настоящее время, и, вероятно, введет больше, новых и интересных вопросов безопасности.

0
22.08.2018, 16:50
1 ответ

Что ж, сначала вам нужно идентифицировать отказ, который вы получаете от SELinux. Самый простой (на мой взгляд )способ сделать это через утилиту sealert.

Сначала установите пакет setroubleshoot-serverс:

yum install setroubleshoot-server

Затем запустите:

sealert -a /var/log/audit/audit.log

Вероятно, вы получите много информации, ищите ваше конкретное опровержение и следуйте рекомендациям. Но обязательно НЕ позволяйте того, что не должно быть разрешено!

Вот пример опровержения и предлагаемого обходного пути изsealert(моего выделения):

SELinux is preventing /usr/libexec/postfix/qmgr from using the rlimitinh access on a process.

*****  Plugin catchall (100. confidence) suggests   **************************

you believe that qmgr should be allowed rlimitinh access on processes labeled postfix_qmgr_t by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'qmgr' --raw | audit2allow -M my-qmgr
# semodule -i my-qmgr.pp


Additional Information:
Source Context                system_u:system_r:postfix_master_t:s0
Target Context                system_u:system_r:postfix_qmgr_t:s0
Target Objects                Unknown [ process ]
Source                        qmgr
Source Path                   /usr/libexec/postfix/qmgr
Port                          
Host                          
Source RPM Packages           postfix-2.10.1-6.el7.x86_64
Target RPM Packages           
Policy RPM                    selinux-policy-3.13.1-102.el7_3.16.noarch
Selinux Enabled               True
Policy Type                   targeted
Enforcing Mode                Enforcing
Host Name                     centos
Platform                      Linux centos 3.10.0-514.26.2.el7.x86_64 #1 SMP Tue
                              Jul 4 15:04:05 UTC 2017 x86_64 x86_64
Alert Count                   5
First Seen                    2018-04-18 18:02:32 CEST
Last Seen                     2018-08-22 09:11:22 CEST
Local ID                      855f168c-1e47-4c6b-8a1e-f8fddce5d426

Приведенный выше пример снова относится к Postfix; найдите ваш отказ и вставьте локальную политику.

3
28.01.2020, 02:23

Теги

Похожие вопросы