The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Zabbix.fping.SELinux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Мониторинг, логи / Linux)
Изначальное сообщение [ Отслеживать ]

"Zabbix.fping.SELinux"  +/
Сообщение от Diesel315 (ok) on 24-Янв-14, 17:01 
Всем привет.
Имеем CentOS 6.5 x32. Установил zabbix 2.2.1. Не работает icmpping, вернее fping. В конфиге все прописано, в терминале работает. Выяснил, что виноват SELinux, если его отключить, то все работает. Но отключать не хотелось бы, хотелось бы разрешить эту проблему.
Как советуют в интернете вылавливать из audit.log записи о fping и создать разрешающее правило в selinux не прокатывает, потому что записей нет вообще в этом логе.
Собственно, может кто сталкивался с такой и проблемой и решили?!
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Zabbix.fping.SELinux"  +/
Сообщение от McLeod095 (ok) on 24-Янв-14, 17:29 
> Всем привет.
> Имеем CentOS 6.5 x32. Установил zabbix 2.2.1. Не работает icmpping, вернее fping.
> В конфиге все прописано, в терминале работает. Выяснил, что виноват SELinux,
> если его отключить, то все работает. Но отключать не хотелось бы,
> хотелось бы разрешить эту проблему.
> Как советуют в интернете вылавливать из audit.log записи о fping и создать
> разрешающее правило в selinux не прокатывает, потому что записей нет вообще
> в этом логе.
> Собственно, может кто сталкивался с такой и проблемой и решили?!

http://www.alsigned.ru/?p=2463

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Zabbix.fping.SELinux"  +/
Сообщение от Diesel315 (ok) on 24-Янв-14, 19:14 
> http://www.alsigned.ru/?p=2463

К сожалению не помогло. Попробовал два варианта zabbix_fping.te. Первый, что в статье и второй, что указан был в комментариях. Все равно блокирует. В логах audit.log и zabbix_server.log на этот счет ничего нет.
Еще мысли будут?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Zabbix.fping.SELinux"  +/
Сообщение от McLeod095 (ok) on 28-Янв-14, 17:00 
>> http://www.alsigned.ru/?p=2463
> К сожалению не помогло. Попробовал два варианта zabbix_fping.te. Первый, что в статье
> и второй, что указан был в комментариях. Все равно блокирует. В
> логах audit.log и zabbix_server.log на этот счет ничего нет.
> Еще мысли будут?

module zabbix_fping 1.0;
require {
    type initrc_tmp_t;
    type ping_t;
    class file read;
}
allow ping_t initrc_tmp_t:file read;

мне вот это помогло

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Zabbix.fping.SELinux"  +/
Сообщение от Diesel315 (ok) on 31-Янв-14, 14:42 
> мне вот это помогло

Хмм.Может что-то не так делаю?
1) Создаю в директории /etc/zabbix/ файл пустой zabbix_fping.te
2) Наполняю его содержимым как вы указали.
3) Далее
[root@zabbix ~]# checkmodule -M -m -o zabbix_fping.mod zabbix_fping.te
[root@zabbix ~]# semodule_package -o zabbix_fping.pp -m zabbix_fping.mod
[root@zabbix ~]# semodule -i zabbix_fping.pp
4) Проверяю что правило появилось
[root@CentOS zabbix]# semodule -l
...
zabbix_fping    1.0
...
5) Как видим оно есть, но не помогло(((

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Zabbix.fping.SELinux"  +/
Сообщение от alq on 18-Фев-14, 12:59 
мне вот это помогло
http://forum.ixbt.com/topic.cgi?id=7:44236

>[оверквотинг удален]
> 3) Далее
> [root@zabbix ~]# checkmodule -M -m -o zabbix_fping.mod zabbix_fping.te
> [root@zabbix ~]# semodule_package -o zabbix_fping.pp -m zabbix_fping.mod
> [root@zabbix ~]# semodule -i zabbix_fping.pp
> 4) Проверяю что правило появилось
> [root@CentOS zabbix]# semodule -l
> ...
> zabbix_fping    1.0
> ...
> 5) Как видим оно есть, но не помогло(((

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Zabbix.fping.SELinux"  +/
Сообщение от frol (??) on 21-Мрт-14, 12:38 
Наткнулся на похожую проблему, помогло вот это:

module zabbix_fping 1.1;
require {
    type zabbix_tmp_t;
    type initrc_tmp_t;
    type ping_t;
    class file { read getattr };
}
allow ping_t initrc_tmp_t:file { read getattr };
allow ping_t zabbix_tmp_t:file { read getattr };

Для диагностики включал логирование правил dontaudit:

semodule -DB

После диагностики выключил:

semodule -B

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру