المقدمة
يوضح هذا المستند الخطأ الذي تم إنشاؤه عندما تمنع سياسة SELinux الخاصة بالنظام الموصل من مراقبة نشاط النظام.
معلومات أساسية
الموصل يتطلب أن تكون هذه القاعدة في سياسة Secure Enterprise Linux (SELinux) إذا تم تمكين SELinux وفي وضع التنفيذ:
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
هذه القاعدة غير موجودة في نهج SELinux الافتراضي على الأنظمة القائمة على Red Hat. يحاول الموصل إضافة هذه القاعدة من خلال تثبيت وحدة نهج SELinux المسماة Cisco-secure-bpf أثناء التثبيت أو الترقية. والخطا ينشأ إذا Cisco-secure-bpf فشل في التثبيت والتحميل، أو أنه معطل. يتم إعلام المستخدم بوجود خطأ 19 كما هو موضح في قائمة أخطاء موصل Cisco Secure Endpoint Linux إذا كان هذا الخطأ تثار بواسطة الموصل.
قابلية التطبيق
يمكن إصلاح هذا الخطأ بعد تثبيت أو ترقية جديدة للموصل، أو بعد تعديل سياسة SELinux الخاصة بالنظام.
أنظمة التشغيل
- نظام التشغيل Red Hat Enterprise Linux 7
- سنت أو إس 7
- نظام التشغيل Oracle Linux (RHCK/UEK) 7
إصدارات الموصل
- Linux 1.22.0 والإصدارات الأحدث
قرار
هناك طريقتان لحل هذا الخطأ:
- قم بإعادة تثبيت الموصل أو ترقيته.
- قم بتعديل سياسة SelInux يدويا.
تثبيت التبعية
وتتطلب كلتا الطريقتين حزمة "policy coreutils-python" المثبتة على النظام لإنشاء وحدة سياسة SelInux وتحميلها. قم بتشغيل هذا الأمر لتثبيت هذه الحزمة.
yum install policycoreutils-python
إعادة تثبيت الموصل أو ترقيته
وحدة سياسة SelInux المسماة Cisco-secure-bpf سيتم تثبيته لتوفير تعديل نهج SELinux المطلوب أثناء تثبيت الموصل أو ترقيته. قم بإجراء عملية إعادة تثبيت أو ترقية قياسية للموصل لطريقة الحل هذه.
تعديل سياسة SelInux يدويا
يجب أن يقوم مسؤول النظام بإنشاء وحدة سياسة SelInux وتحميلها يدويا لتعديل سياسة SELinux. قم بإجراء هذه الخطوات لتحميل قاعدة سياسة SELinux المطلوبة:
- احفظ هذا في ملف باسم Cisco-secure-bpf.te
module cisco-secure-bpf 1.0;
require {
type unconfined_service_t;
class bpf { map_create map_read map_write prog_load prog_run };
}
#============= unconfined_service_t ==============
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
- قم بإنشاء الوحدة النمطية وتحميلها باستخدام هذه الأوامر.
checkmodule -M -m -o "cisco-secure-bpf.mod" "cisco-secure-bpf.te"
semodule_package -o "cisco-secure-bpf.pp" -m "cisco-secure-bpf.mod"
semodule -i "cisco-secure-bpf.pp"
- قم بإعادة تشغيل الموصل لمسح الخطأ.
التحقق من تعديل نهج SelInux
قم بتشغيل هذا الأمر للتحقق من تثبيت وحدة نهج SELinux الآمنة-bpf من Cisco.
semodule -l | grep cisco-secure-bpf
حدث تعديل نهج SelInux إذا كان الناتج يبلغ عن Cisco-secure-bpf 1.0.
قم بتشغيل هذا الأمر للتحقق من وجود قاعدة سياسة SELinux المطلوبة.
sesearch -A | grep "unconfined_t unconfined_t : bpf"
ينظف الخطأ بعد إعادة تشغيل الموصل إذا كان تقرير الإخراج يسمح ب unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run }؛.
التعليقات