selinux开启后,系统无法正常启动,网络服务都不起不来了!
作者: sonorous 发布时间: 2009-08-03
作者: chenyx 发布时间: 2009-08-03
作者: yjw276009649 发布时间: 2009-08-03
作者: www_xylove 发布时间: 2009-08-04
作者: gaoshixing 发布时间: 2009-08-04
作者: vermouth 发布时间: 2009-08-04
作者: sonorous 发布时间: 2009-08-06
作者: HH106 发布时间: 2009-08-07
作者: sonorous 发布时间: 2009-08-07
是不是phyton的啊
作者: sonorous 发布时间: 2009-08-07
那鸟东西直接关掉,没用
我给你一个最高评价:2
作者: marsaber 发布时间: 2009-08-07
作者: sonorous 发布时间: 2009-08-07
我用ldd /usr/sbin/restorecond试了一下,在不开selinux的情况下输出都是正常的,如下:
[root@rhel5-2 tmp]# ldd /usr/sbin/restorecond
libselinux.so.1 => /lib64/libselinux.so.1 (0x00002b1a7596f000)
libsepol.so.1 => /lib64/libsepol.so.1 (0x00002b1a75b87000)
libc.so.6 => /lib64/libc.so.6 (0x00002b1a75dcd000)
libdl.so.2 => /lib64/libdl.so.2 (0x00002b1a76121000)
/lib64/ld-linux-x86-64.so.2 (0x00002b1a75753000)
[root@rhel5-2 tmp]#
在没有问题的机器上打开selinux后运行ldd,输出也正常,如下:
[root@centos5-1 ~]# getenforce
Enforcing
[root@centos5-1 ~]# ldd /usr/sbin/restorecond
libselinux.so.1 => /lib64/libselinux.so.1 (0x00002aaaaacc6000)
libsepol.so.1 => /lib64/libsepol.so.1 (0x00002aaaaaede000)
libc.so.6 => /lib64/libc.so.6 (0x00002aaaab124000)
libdl.so.2 => /lib64/libdl.so.2 (0x00002aaaab475000)
/lib64/ld-linux-x86-64.so.2 (0x00002aaaaaaab000)
[root@centos5-1 ~]#
在有问题的机器上,如果开了selinux,ldd输出就会报错,如下:
[root@rhel5-1 tmp]# getenforce
Enforcing
[root@rhel5-1 tmp]#
[root@rhel5-1 ~]# ldd /usr/sbin/restorecond
/usr/sbin/restorecond: error while loading shared libraries: libselinux.so.1: failed to map segment from shared object: Permission denied
[root@rhel5-1 ~]#
作者: sonorous 发布时间: 2009-08-12
作者: sonorous 发布时间: 2009-08-12
若你當初有關閉掉,目前要打開需要先這樣:
1. /etc/sysconfig/selinux 內的啟用模式要先改 permissive,而不是 enforce
2. 執行 touch /.autorelabel 後重新啟動系統,系統會重新標記 security context 這類資訊
3. 開好後執行 setenforce 1 進入強制模式,然後改 /etc/sysconfig/selinux 內設定為 enforce,往後系統都會用該模式
作者: kenduest 发布时间: 2009-08-12
修复这个问题确实比较烦,首先你对于上面所有permission deny的文件,要修改其selinux的扩展属性,用命令chcon可以修改,ls -Z可以查看,具体可以参考下面的链接
http://wiki.centos.org/HowTos/SELinux
比如,/etc/sysconfig/network-scripting/ifcfg-eth0 文件的的selinux扩展属性的type(最后一个部分)
应该是etc_t,如果你的是file_t,那么应用程序访问该文件时,就会被拒绝。
你可以找一个selinux enable的机子,对照文件的selinux属性,把不同的改过来。
作者: Largem 发布时间: 2009-08-13
你啟動方式不對。
若你當初有關閉掉,目前要打開需要先這樣:
1. /etc/sysconfig/selinux 內的啟用模式要先改 permissive,而不是 enforce
2. 執行 touch /.autorelabel 後重新啟動系統,系統會重新標記 ...
我会试一下, 谢谢你
作者: sonorous 发布时间: 2009-08-14
是因为文件的selinux的扩展属性不对,由于你曾经关掉过selinux,在关掉selinux时创建和修改的文件不会有selinux的扩展属性,在你又打开selinux时,selinux会为这些文件赋予缺省的selinux属性,这样文件的文件, ...
这个办法我也试过,但是太麻烦,文件太多,我发现id -Z的输出也不同
作者: sonorous 发布时间: 2009-08-14
你啟動方式不對。
若你當初有關閉掉,目前要打開需要先這樣:
1. /etc/sysconfig/selinux 內的啟用模式要先改 permissive,而不是 enforce
2. 執行 touch /.autorelabel 後重新啟動系統,系統會重新標記 ...
试了一下这种方法, 还是不行, 错误和原来是一样的,libselinux.so.1 load出错
作者: sonorous 发布时间: 2009-08-17
以下是正常机器的输出:
[root@centos5-1 lib]# ls -Z libselinux.so.1
-rwxr-xr-x root root system_ubject_r:lib_t libselinux.so.1
[root@centos5-1 lib]# id -Z
root:system_r:unconfined_t:SystemLow-SystemHigh
[root@centos5-1 lib]#
作者: sonorous 发布时间: 2009-08-17