Um zu überprüfen, ob SELinux aktiviert ist, geben Sie den folgenden Befehl ein: 'sestatus'.
Wenn die SELinux-Richtlinie auf Aktiviert gesetzt ist und ds_agent gesperrt wird,
könnte das folgende Alarmbeispiel im Systemprotokoll oder SELinux-Protokoll erscheinen
(
/var/log/audit/audit.log oder /var/log/audit.log):[TIMESTAMP] [HOSTNAME] python: SELinux is preventing [/PATH/BINARY] from 'read, write' accesses on the file/var/opt/ds_agent/dsa_core/ds_agent.db-shm. ***** Plugin leaks (86.2 confidence) suggests ***************************** If you want to ignore [BINARY] trying to read write access the ds_agent.db-shm file, because you believe it should not need this access. Then you should report this as a bug. You can generate a local policy module to dontaudit this access. Do ausearch -x [/PATH/BINARY] --raw | audit2allow -D -M [POLICYNAME] semodule -i POLICYNAME.pp
Um das Problem zu beheben, erstellen Sie eine benutzerdefinierte SELinux-Richtlinie
mit Audit2allow:
Prozedur
- Verbinden Sie sich als Root-Benutzer mit dem Agenten.
- Führen Sie die folgenden Befehle aus, um eine benutzerdefinierte Richtlinie zu erstellen,
die den Zugriff auf Agentendateien ermöglicht:
cd /tmpgrep ds_agent /var/log/audit/audit\* | audit2allow -M ds_agentsemodule -i ds_agent.pp - Starten Sie den ds_agent neu.
- Überprüfen Sie die Systemnachrichten und bestätigen Sie, dass keine Warnungen im Zusammenhang
mit ds_agent vorliegen.
cat /var/log/messages | grep ds_agent - Wenn weiterhin Warnungen auftreten, führen Sie die Befehle aus Schritt 2 erneut aus.
Dadurch wird die bestehende Richtlinie aktualisiert und erneut angewendet.
Nächste Schritte
Um die SELinux-Richtlinie zu entfernen, verwenden Sie den folgenden Befehl:
semodule -r ds_agent.