Inleiding
In dit document wordt de fout beschreven die is ontstaan wanneer het SELinux-beleid op het systeem de connector belet de systeemactiviteit te controleren.
Achtergrondinformatie
De connector vereist dat deze regel in het beleid Secure Enterprise Linux (SELinux) wordt gebruikt als SELinux is ingeschakeld en in de afdwingingsmodus:
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
Deze regel is niet aanwezig in het standaard SELinux-beleid voor op rode hoed gebaseerde systemen. De connector probeert deze regel toe te voegen door de installatie van een SELinux-beleidsmodule met de naam cisco-secure-bpf tijdens een installatie of upgrade. De fout wordt opgeworpen als Cisco Cisco-Secure-BPF niet installeert en laadt, of is uitgeschakeld. De gebruiker wordt op de hoogte gesteld van een fout 19 zoals beschreven in de lijst met Cisco Secure Endpoint Linux Connector-fouten als deze fout door de connector wordt veroorzaakt.
Toepasbaarheid
Deze fout kan worden veroorzaakt na een nieuwe installatie of upgrade van de Connector, of na het wijzigen van het SELinux beleid van het systeem.
Besturingssystemen
- Red Hat Enterprise Linux 7
- CentOS 7
- Oracle Linux (RHCK/UEK) 7
Connectorversies
Resolutie
Er zijn twee methoden om deze fout op te lossen:
- Installeer of upgrade de aansluiting.
- Wijzig handmatig het SELinux-beleid.
Installatieafhankelijkheid
Voor beide methoden is het op het systeem geïnstalleerde "PolicyCoreutils-Python"-pakket nodig om de SELinux-beleidsmodule te kunnen bouwen en laden. Voer deze opdracht uit om dit pakket te installeren.
yum install policycoreutils-python
Installeer of upgrade de aansluiting
Een SELinux-beleidsmodule met de naam cisco-secure-bpf zal worden geïnstalleerd om de vereiste aanpassing van het SELinux-beleid te kunnen uitvoeren tijdens een installatie of upgrade van de connector. Voer een standaard herinstallatie of upgrade uit van de connector voor deze resolutiemethode.
Het SELinux-beleid handmatig aanpassen
Een systeembeheerder moet handmatig een SELinux-beleidsmodule bouwen en laden om het SELinux-beleid aan te passen. Voer deze stappen uit om de vereiste SELinux beleidsregel te laden:
- Sla dit op in een bestand met de naam cisco-secure-bpf.te
module cisco-secure-bpf 1.0;
require {
type unconfined_service_t;
class bpf { map_create map_read map_write prog_load prog_run };
}
#============= unconfined_service_t ==============
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
- Bouw en laad de module met deze opdrachten.
checkmodule -M -m -o "cisco-secure-bpf.mod" "cisco-secure-bpf.te"
semodule_package -o "cisco-secure-bpf.pp" -m "cisco-secure-bpf.mod"
semodule -i "cisco-secure-bpf.pp"
- Start de connector opnieuw om de fout te verhelpen.
Controleer de wijziging van het SELinux-beleid
Voer deze opdracht uit om te controleren of de Cisco-Secure-Bpf SELinux beleidsmodule is geïnstalleerd.
semodule -l | grep cisco-secure-bpf
De beleidswijziging van SELinux is opgetreden als de uitvoer "cisco-secure-bpf 1.0" meldt.
Voer deze opdracht uit om te controleren of de vereiste SELinux-beleidsregel aanwezig is.
sesearch -A | grep "unconfined_t unconfined_t : bpf"
De fout wordt opgelost nadat de connector opnieuw opgestart is als de uitvoerrapporten "unconfined_service_t self:bpf { map_creative map_read_write prog_load prog_run} toestaan;".