Невозможно исправить эту ошибку. Сохраните все журналы, они понадобятся на тот случай, если кто-то действительно осознает, что уязвимость действительно существует до того, как было объявлено о ней
Команда getsebool -a | grep ssh
в моем CentOS 7 показывает
fenced_can_ssh --> off
selinuxuser_use_ssh_chroot --> off
ssh_chroot_rw_homedirs --> off
ssh_keysign --> off
ssh_sysadm_login --> off
поэтому, исходя из вашего вопроса, команда
setsebool -P fenced_can_ssh on
должен это исправить.
Но вы также можете пойти «сложным» путем и установить пакеты setroubleshoot-server
и policycoreutils-python
с:
yum -y install setroubleshoot-server policycoreutils-python
, а затем временно установите режим SELinux на permissive
с помощью
setenforce Permissive
После этого попробуйте все, что раньше не работало. Теперь это должно работать.
Теперь взгляните на следующий файл /var/log/audit/audit.log
. Обычно он показывает обнаруженные SELinux проблемы.
grep -i "denied" /var/log/audit/audit.log
Если в журнале нет сообщений об отказе, возможно, SELinux считает, что событие создаст слишком много журнала, поэтому не записывает его. В этом случае вы можете включить регистрацию всех событий с помощью
semodule -DB
Но убедитесь, что вы вернули его в нормальное состояние с помощью semodule -B
в конце устранения неполадок.
Если вы обнаружили проблемы, теперь вы можете использовать инструмент audit2allow
для создания модуля политики для ваших нужд. audit2allow
имеет много опций, поэтому вам следует сначала прочитать РАЗРЕШЕНИЕ ДОСТУПА :AUDIT2ALLOW , чтобы привыкнуть к audit2allow
.
Не забудьте снова включить SELinux и (, если изменено, )включить сокращенное ведение журнала!
setenforce permissive
semodule -B