Causa 1: Errores de etiquetado El concepto central de SELinux es el etiquetado, ya sea sistema de archivos, directorio, archivo, descriptor de inicio de archivos, puerto, interfaz de mensajes o interfaz de red, todo Las etiquetas son obligatorias y solo se pueden realizar de acuerdo con los permisos otorgados por la etiqueta. Incluso si el proceso de Apache en ejecución está pirateado y tiene un permiso de root de uid = 0, todavía no puede acceder a los archivos en el directorio principal de un usuario. Debido a que el proceso de Apache etiquetado como httpdt tiene acceso al contenido marcado como usuariohome_t. Por lo tanto, SELinux mostrará una advertencia si hay un problema con la anotación. Para tratar con esta clase, puede consultar el uso de los comandos semanage fcontext y restorecon en la sección anterior de este sitio. Por supuesto, también puede seguir las indicaciones en la herramienta de depuración gráfica SELinux. Razón 2: configuración de ejecución del programa personalizada Después de años de desarrollo, SELinux ha acumulado una gran cantidad de archivos de políticas, registra las solicitudes de ejecución predeterminadas para la mayoría de las aplicaciones y puede otorgar los permisos mínimos adecuados para ejecutar. Sin embargo, si ha personalizado algunas configuraciones en ejecución o tiene requisitos de aplicación especiales, deberá ajustar algunas configuraciones de SELinux. Para los requisitos personalizados más comunes, SELinux está controlado por valores booleanos. Consulte la sección anterior sobre el uso del comando setsebool. Para un conjunto completo de booleanos SELinux ajustables, use el comando semanage boolean -l. Esto se puede resolver con la herramienta de depuración gráfica SELinux o con el sistema gráfico config-selinux. Causa tres: hay un problema con la política de SELinux o la configuración de la aplicación. Si no ha modificado específicamente la configuración y aún recibe la advertencia de SELinux, la razón puede estar en la política de SELinux o en la propia aplicación. En este punto, se recomienda enviar primero un informe de error con la ayuda de la herramienta de depuración SELinux y luego procesarlo según corresponda. Si ya se ha informado, generalmente se resolverá en detalle en los comentarios del informe de errores. En este punto, si desea ignorar la advertencia de SELinux y seguir ejecutando la aplicación, hay varias formas: configure SELinux para permitir el modo, solo registre las advertencias pero no ejecute: setenforce 0. Establezca un solo proceso de anotación para permitir el modo en lugar de todo el sistema, por ejemplo, solo desea ejecutar Apache en el modo permitido: semange permisivo -a httpd_tCreate y cargue una política personalizada con referencia a las recomendaciones de la herramienta de depuración SELinux. El proceso específico varía de un caso a otro, y hay instrucciones detalladas en la herramienta de depuración SELinux. Razón 4: el programa se ha visto comprometido. SELinux no es un sistema de detección de intrusiones, por lo que la herramienta de depuración de SELinux actual no puede identificar activamente el intento de intrusión, pero cuando encuentra que el contenido de advertencia contiene las siguientes características, es probable que el proceso correspondiente haya sido hackeado: Intente desactivar SELinux (/etc /selinux) o establecer un valor booleano SELinux. Intente cargar el módulo del kernel, escriba en el directorio del kernel o arranque la imagen. Intente leer el archivo identificado por shadow_t, que generalmente contiene información de cuenta cifrada. Intente sobrescribir la escritura en el archivo de registro. Intente conectarse a un puerto aleatorio no deseado o puerto de correo. En este punto, se presentan las cuatro razones de advertencia comunes, y espero que pueda manejarlo de manera segura y efectiva la próxima vez que se encuentre con una advertencia de SELinux. Por cierto, la localización de la mayoría de las herramientas de depuración de SELinux se ha resuelto, y los zapatos de los niños en Jane podrán ver las advertencias en Jane en Fedora 18.