URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95375
[ Назад ]

Исходное сообщение
"Zabbix.fping.SELinux"
Отправлено Diesel315 , 24-Янв-14 17:01

Всем привет.
Имеем CentOS 6.5 x32. Установил zabbix 2.2.1. Не работает icmpping, вернее fping. В конфиге все прописано, в терминале работает. Выяснил, что виноват SELinux, если его отключить, то все работает. Но отключать не хотелось бы, хотелось бы разрешить эту проблему.
Как советуют в интернете вылавливать из audit.log записи о fping и создать разрешающее правило в selinux не прокатывает, потому что записей нет вообще в этом логе.
Собственно, может кто сталкивался с такой и проблемой и решили?!

Содержание

Zabbix.fping.SELinux,McLeod095, 17:29 , 24-Янв-14
- Zabbix.fping.SELinux,Diesel315, 19:14 , 24-Янв-14
  - Zabbix.fping.SELinux,McLeod095, 17:00 , 28-Янв-14
    - Zabbix.fping.SELinux,Diesel315, 14:42 , 31-Янв-14
      - Zabbix.fping.SELinux,alq, 12:59 , 18-Фев-14
Zabbix.fping.SELinux,frol, 12:38 , 21-Мрт-14

Сообщения в этом обсуждении

"Zabbix.fping.SELinux"
Отправлено McLeod095 , 24-Янв-14 17:29

> Всем привет.
> Имеем CentOS 6.5 x32. Установил zabbix 2.2.1. Не работает icmpping, вернее fping.
> В конфиге все прописано, в терминале работает. Выяснил, что виноват SELinux,
> если его отключить, то все работает. Но отключать не хотелось бы,
> хотелось бы разрешить эту проблему.
> Как советуют в интернете вылавливать из audit.log записи о fping и создать
> разрешающее правило в selinux не прокатывает, потому что записей нет вообще
> в этом логе.
> Собственно, может кто сталкивался с такой и проблемой и решили?!
http://www.alsigned.ru/?p=2463

"Zabbix.fping.SELinux"
Отправлено Diesel315 , 24-Янв-14 19:14

> http://www.alsigned.ru/?p=2463
К сожалению не помогло. Попробовал два варианта zabbix_fping.te. Первый, что в статье и второй, что указан был в комментариях. Все равно блокирует. В логах audit.log и zabbix_server.log на этот счет ничего нет.
Еще мысли будут?

"Zabbix.fping.SELinux"
Отправлено McLeod095 , 28-Янв-14 17:00

>> http://www.alsigned.ru/?p=2463
> К сожалению не помогло. Попробовал два варианта zabbix_fping.te. Первый, что в статье
> и второй, что указан был в комментариях. Все равно блокирует. В
> логах audit.log и zabbix_server.log на этот счет ничего нет.
> Еще мысли будут?
module zabbix_fping 1.0;
require {
    type initrc_tmp_t;
    type ping_t;
    class file read;
}
allow ping_t initrc_tmp_t:file read;
мне вот это помогло

"Zabbix.fping.SELinux"
Отправлено Diesel315 , 31-Янв-14 14:42

> мне вот это помогло
Хмм.Может что-то не так делаю?
1) Создаю в директории /etc/zabbix/ файл пустой zabbix_fping.te
2) Наполняю его содержимым как вы указали.
3) Далее
[root@zabbix ~]# checkmodule -M -m -o zabbix_fping.mod zabbix_fping.te
[root@zabbix ~]# semodule_package -o zabbix_fping.pp -m zabbix_fping.mod
[root@zabbix ~]# semodule -i zabbix_fping.pp
4) Проверяю что правило появилось
[root@CentOS zabbix]# semodule -l
...
zabbix_fping 1.0
...
5) Как видим оно есть, но не помогло(((

"Zabbix.fping.SELinux"
Отправлено alq , 18-Фев-14 12:59

мне вот это помогло
http://forum.ixbt.com/topic.cgi?id=7:44236
>[оверквотинг удален]
> 3) Далее
> [root@zabbix ~]# checkmodule -M -m -o zabbix_fping.mod zabbix_fping.te
> [root@zabbix ~]# semodule_package -o zabbix_fping.pp -m zabbix_fping.mod
> [root@zabbix ~]# semodule -i zabbix_fping.pp
> 4) Проверяю что правило появилось
> [root@CentOS zabbix]# semodule -l
> ...
> zabbix_fping 1.0
> ...
> 5) Как видим оно есть, но не помогло(((

"Zabbix.fping.SELinux"
Отправлено frol , 21-Мрт-14 12:38

Наткнулся на похожую проблему, помогло вот это:
module zabbix_fping 1.1;
require {
    type zabbix_tmp_t;
    type initrc_tmp_t;
    type ping_t;
    class file { read getattr };
}
allow ping_t initrc_tmp_t:file { read getattr };
allow ping_t zabbix_tmp_t:file { read getattr };
Для диагностики включал логирование правил dontaudit:
semodule -DB
После диагностики выключил:
semodule -B