Нужно ли мне создавать пользовательский тип контекста файла для /etc/zabbix/, если я не хочу использовать unlabeled_t?
Если возможно, заблокируйте SSH (TCP-порт 22 )из Интернета. У вас будут боты, которые будут пробовать пароли весь день. Если вам нужен удаленный доступ по SSH, подумайте об использовании VPN или, по крайней мере, о том, чтобы подключить SSH к нестандартному порту -и/или ограничить количество IP-адресов, которые могут подключаться.
Смена оболочки — это хороший первый шаг, но вы должны убедиться, что они не могут использовать какие-либо другие функции, и максимально заключить их в тюрьму. Переадресация TCP - довольно большая проблема. По сути, это соединение используется в качестве VPN и прокси-сервера, поэтому злоумышленник будет находиться в вашей сети за вашим брандмауэром. Они могут использовать это для атаки на ваши внутренние хосты или организации атак из вашей сети против других. Если вы собираетесь открыть порт SSH, измените sshd_conf, чтобы уменьшить их возможности :
DenyGroups ftpusers ....if they shouldn't SSH/SFTP at all
Match group ftpusers ....whatever group you've assigned to the accounts
AllowTcpForwarding no
X11Forwarding no
ForceCommand internal-sftp
ChrootDirectory /home/ftpuser....or some other safe place, like an empty folder.
Второй вариант может быть полезен, если вы хотите, чтобы они использовали SFTP, а не SSH. Взгляните на man sshd_configдля шаблонов соответствия.
Вероятно, вы установили Zabbix из неизвестного -источника SELinux или, возможно, с отключенным SELinux при установке.
Если Zabbix не был установлен из пакета, поддерживающего SELinux -, вполне вероятно, что запуск restorecon -R -v /etcавтоматически изменит метки unlabeled_tна что-то другое, возможно, etc_t, так как это метка по умолчанию. для файлов и каталогов в /etc. Вероятно, вам следует сделать это перед использованием audit2allow.
etc_tбудет хорошим типом контекста для большинства файлов конфигурации.
Набор правил SELinux для RHEL/CentOS 7.x на самом деле имеет некоторые встроенные -положения для Zabbix :каталога /etc/zabbix/web/, и любые файлы в нем будут помечены httpd_sys_rw_content_tи сценарии запуска Zabbix, оба сервер и агент получат соответствующие метки zabbix_initrc_exec_tи zabbix_agent_initrc_exec_tсоответственно.
Нижеследующее взято из «ванильной» тестовой виртуальной машины RHEL 7.7 без установленных пакетов Zabbix:
[root@localhost etc]# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.7 (Maipo)
[root@localhost etc]# semanage fcontext -l |grep zabbix
/var/log/zabbix.* all files system_u:object_r:zabbix_log_t:s0
/etc/zabbix/web(/.*)? all files system_u:object_r:httpd_sys_rw_content_t:s0
/var/lib/zabbix(/.*)? all files system_u:object_r:zabbix_var_lib_t:s0
/var/run/zabbix(/.*)? all files system_u:object_r:zabbix_var_run_t:s0
/etc/rc\.d/init\.d/(zabbix|zabbix-server) regular file system_u:object_r:zabbix_initrc_exec_t:s0
/var/lib/zabbixsrv(/.*)? all files system_u:object_r:zabbix_var_lib_t:s0
/usr/lib/zabbix/externalscripts(/.*)? all files system_u:object_r:zabbix_script_exec_t:s0
/var/lib/zabbix/externalscripts(/.*)? all files system_u:object_r:zabbix_script_exec_t:s0
/usr/bin/zabbix_server regular file system_u:object_r:zabbix_exec_t:s0
/usr/bin/zabbix_agentd regular file system_u:object_r:zabbix_agent_exec_t:s0
/usr/sbin/zabbix_proxy regular file system_u:object_r:zabbix_exec_t:s0
/usr/sbin/zabbix_agentd regular file system_u:object_r:zabbix_agent_exec_t:s0
/usr/sbin/zabbix_server regular file system_u:object_r:zabbix_exec_t:s0
/usr/sbin/zabbix_proxy_mysql regular file system_u:object_r:zabbix_exec_t:s0
/usr/sbin/zabbix_proxy_pgsql regular file system_u:object_r:zabbix_exec_t:s0
/usr/sbin/zabbix_server_mysql regular file system_u:object_r:zabbix_exec_t:s0
/usr/sbin/zabbix_server_pgsql regular file system_u:object_r:zabbix_exec_t:s0
/etc/rc\.d/init\.d/zabbix-agentd regular file system_u:object_r:zabbix_agent_initrc_exec_t:s0
/usr/sbin/zabbix_proxy_sqlite3 regular file system_u:object_r:zabbix_exec_t:s0
/usr/sbin/zabbix_server_sqlite3 regular file system_u:object_r:zabbix_exec_t:s0