SELinux impedisce l'esecuzione di plugin Nagios su RHEL6

Dopo l'installazione di Plugin Nagios NRPE & Nagios, ho la seguente voce nel mio rsyslog:

May 13 14:01:30 wcmisdlin02 kernel: type=1400 audit(1305309690.482:2334): avc: denied { getattr } for pid=3835 comm="sh" path="/usr/bin/sudo" dev=dm-0 ino=7355981 scontext=unborderd_u:system_r:nrpe_t:s0 tcontext=system_u:object_r:sudo_exec_t:s0 tclass=file 

Sembra che i miei plugin Nagios che sto cercando di eseguire tramite NRPE sono bloccati da SELinux. Cosa dovrei fare?

  • Qual è lo standard de facto per l'esecuzione di un server node.js nella produzione?
  • La colonna Time + (CPU Time) nel command superiore non è correttamente segnalata
  • Regole di password per yppasswd
  • Bloccare le connessioni in output su RHEL7 / CentOS7 con firewalld?
  • Quali autorizzazioni dovrebbero avere sui miei file / cartelle di sito web su un server web Linux?
  • OpenVPN client-to-client
  • Che cosa in un file kickstart imposta la GUI desktop come default (runlevel 5)?
  • Monitoraggio dello spazio di elaborazione del kernel Linux
  • Come vengono mappati i servizi ai file in /etc/pam.d?
  • Postfix e Sendmail smsmp cron lavoro
  • Come scoprire il terminal virtuale attualmente linux attivo mentre è collegato tramite ssh?
  • Eliminare automaticamente i file scrivendo zeri su Linux
  • 4 Solutions collect form web for “SELinux impedisce l'esecuzione di plugin Nagios su RHEL6”

    Questo deve essere risolto da questa errata: http://rhn.redhat.com/errata/RHBA-2012-0780.html

    Se il boolean nrpe_disable_trans non è un'opzione:

    1. Puoi seguire queste istruzioni per creare la tua politica per consentire NRPE . In sostanza, questo comporterebbe di eseguire SELinux in modalità permissiva abbastanza a lungo per consentire al server Nagios di eseguire tutti i controlli NRPE pianificati. Quindi, è ansible rimuoverli dal file audit.log a audit2allow. Questo creerà le politiche richieste per la tua revisione e inclusione.

    2. Il file nrpe.te di Thomas Bleher potrebbe anche servire da utile punto di partenza o riferimento per creare la tua politica.

    Beh, prima decidi se vuoi SELinux. Tutti i templates basati su EL hanno installato e abilitato per impostazione predefinita, ma praticamente nessun altro distro. Ti dà un po 'di sicurezza, ma più di un po' di mal di testa, quindi devi pesare in un modo o nell'altro se vuoi. Se no, puoi distriggersrla nel / etc / selinux / config. I commenti nel file vi diranno esattamente cosa fare.

    Se vuoi puoi anche provare a abbassarlo. Se la sua attualmente impostata per eseguire l'esecuzione è ansible passare a permissive e vedere se consente di eseguire NRPE. Potresti anche trovare ulteriori passaggi per impostare NRPE utilizzando SELinux. Onestamente ritengo che sia troppo disturbato per valerne la sicurezza. HTH

    Modifica: Qui puoi trovare un gruppo di booleani selinux per nagios: http://wiki.centos.org/TipsAndTricks/SelinuxBooleans

    Ho notato che il messaggio AVC contiene path="/usr/bin/sudo" . Ciò significa che NRPE sta cercando di utilizzare sudo per ricall un plugin.

    La prima (ma NO significa l'ultima!) Cosa che devi fare per consentire questo:

     sudo setsebool -P nagios_run_sudo on 

    ( -P scrive la modifica al file di criteri sul disco, quindi sarà persistente in tutti i riavvoti.)

    Ora il tuo plugin functionrà come root. Ma molto probabilmente non può fare nulla complicato (es. Programmi di esecuzione che dispongono di un dominio diverso da bin_t ), perché il tuo plugin funziona ancora come il dominio nrpe_t . Questo dominio ha molto deliberatamente autorizzazioni restrittive; non può nemless scrivere ai file in / tmp.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.