Oplossen Linux Connector SELinux beleidsfout

Downloadopties

  • PDF     (248.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (80.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (66.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 september 2023
Document-id:220545

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de fout beschreven die is ontstaan wanneer het SELinux-beleid op het systeem de connector belet de systeemactiviteit te controleren.

    Achtergrondinformatie

    De connector vereist dat deze regel in het beleid Secure Enterprise Linux (SELinux) wordt gebruikt als SELinux is ingeschakeld en in de afdwingingsmodus: 

    allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };

    Deze regel is niet aanwezig in het standaard SELinux-beleid voor op rode hoed gebaseerde systemen. De connector probeert deze regel toe te voegen door de installatie van een SELinux-beleidsmodule met de naam cisco-secure-bpf tijdens een installatie of upgrade. De fout wordt opgeworpen als Cisco Cisco-Secure-BPF niet installeert en laadt, of is uitgeschakeld. De gebruiker wordt op de hoogte gesteld van een fout 19 zoals beschreven in de lijst met Cisco Secure Endpoint Linux Connector-fouten als deze fout door de connector wordt veroorzaakt.

    Toepasbaarheid

    Deze fout kan worden veroorzaakt na een nieuwe installatie of upgrade van de Connector, of na het wijzigen van het SELinux beleid van het systeem.

    Besturingssystemen

    • Red Hat Enterprise Linux 7
    • CentOS 7
    • Oracle Linux (RHCK/UEK) 7

    Connectorversies

    • Linux 1.2.0 en hoger

    Resolutie

    Er zijn twee methoden om deze fout op te lossen:

    1. Installeer of upgrade de aansluiting.
    2. Wijzig handmatig het SELinux-beleid.

    Installatieafhankelijkheid

    Voor beide methoden is het op het systeem geïnstalleerde "PolicyCoreutils-Python"-pakket nodig om de SELinux-beleidsmodule te kunnen bouwen en laden. Voer deze opdracht uit om dit pakket te installeren.

    yum install policycoreutils-python

    Installeer of upgrade de aansluiting

    Een SELinux-beleidsmodule met de naam cisco-secure-bpf zal worden geïnstalleerd om de vereiste aanpassing van het SELinux-beleid te kunnen uitvoeren tijdens een installatie of upgrade van de connector. Voer een standaard herinstallatie of upgrade uit van de connector voor deze resolutiemethode.

    Het SELinux-beleid handmatig aanpassen

    Een systeembeheerder moet handmatig een SELinux-beleidsmodule bouwen en laden om het SELinux-beleid aan te passen. Voer deze stappen uit om de vereiste SELinux beleidsregel te laden:

    1. Sla dit op in een bestand met de naam cisco-secure-bpf.te
      module cisco-secure-bpf 1.0;
require {
type unconfined_service_t;
class bpf { map_create map_read map_write prog_load prog_run };
}
#============= unconfined_service_t ==============
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };​
    2. Bouw en laad de module met deze opdrachten.
      checkmodule -M -m -o "cisco-secure-bpf.mod" "cisco-secure-bpf.te"
semodule_package -o "cisco-secure-bpf.pp" -m "cisco-secure-bpf.mod"
semodule -i "cisco-secure-bpf.pp"
    3. Start de connector opnieuw om de fout te verhelpen.

    Controleer de wijziging van het SELinux-beleid

    Voer deze opdracht uit om te controleren of de Cisco-Secure-Bpf SELinux beleidsmodule is geïnstalleerd.

    semodule -l | grep cisco-secure-bpf

    De beleidswijziging van SELinux is opgetreden als de uitvoer "cisco-secure-bpf 1.0" meldt.

    Voer deze opdracht uit om te controleren of de vereiste SELinux-beleidsregel aanwezig is.

    sesearch -A | grep "unconfined_t unconfined_t : bpf"

    De fout wordt opgelost nadat de connector opnieuw opgestart is als de uitvoerrapporten "unconfined_service_t self:bpf { map_creative map_read_write prog_load prog_run} toestaan;".

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    12-Sep-2023
    Creëerde sectie "Installeer afhankelijkheid" voor beide oplossingen.
    1.0
    28-Jun-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten