2. 程式人生 > >記一次由selinux引起的使用cat檢視檔案報錯Permission denied的問題排查

記一次由selinux引起的使用cat檢視檔案報錯Permission denied的問題排查

阿新 發佈:2020-09-23

事件起因:如下

1、在伺服器上root使用者,會定期生成一個檔案,到/tmp目錄,如:qq_5201351.txt,給other加上了r讀取

2、zabbix端會週期性取這臺伺服器/tmp/qq_5201351.txt檔案內容的(只能通過agent方式,system.run[cat /tmp/qq_5201351.txt]方式獲取)

      但是zabbix的web介面的返回結果異常,報錯:cat: /tmp/qq_5201351.txt: Permission denied

 

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

冷靜分析:到底是沒有許可權執行cat命令,還是檔案的許可權不夠(公司伺服器都做過很強的安全加固)

排查過程:如下

1、檢視檔案的許可權,結果為-rw-r--r--   ,按理說其他使用者就應該有讀的許可權,查檢facl 也沒有問題

2、將上面的cat命令替換成ls或者stat,都能夠返回有結果,難道是命令的問題,倒也有可能?

     a、將cat命令,寫成絕對路徑,/bin/cat  【還是報錯】

     b、檢視/bin/cat對於zabbix使用者是否有執行許可權 【有許可權】

     c、檢視cat檔案是否設定有facl  【沒有設定facl】

[root@qq5201351 ~]# getfacl /bin/cat
getfacl: Removing leading '/' from absolute path names
# file: bin/cat
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

     d、對比stat命令與cat命令的selinux相關的Context資訊(許可權與Context資訊都是一樣的):

[root@qq5201351 ~]# ls -lZ /bin/stat
-rwxr-xr-x. root root system_u:object_r:bin_t:s0       /bin/stat
[root@qq5201351 ~]# ls -lZ /bin/cat
-rwxr-xr-x. root root system_u:object_r:bin_t:s0       /bin/cat
[root@qq5201351 ~]#

3、到此基本斷定問題還是出在檔案的可能性較大,由於公司伺服器是做過非常嚴格的安全加固,zabbix使用者沒有家目錄,shell也還是/sbin/nologin

     開始想要su到zabbix分析,但非常困難(非技術困難,困於流程和安全審計),於是最後分析qq_5201351.txt的selinux安全上下文資訊:

[root@qq5201351 ~]# ls -lZ /tmp/qq_5201351.txt 
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 /tmp/qq_5201351.txt

 4、到此筆者能想到的也就只有是selinux的安全上下文配置了,於是思考去找一個zabbix使用者絕對有許可權的檔案呢?

     這裡筆者想到通過檢視程序,能否找到zabbix使用者程序用到的配置檔案,居然還真能找到一個,如下:

[root@qq5201351 ~]# ps -ef|grep ^zabbix
zabbix     986     1  0 May18 ?        00:00:00 /usr/sbin/zabbix_agentd -c /etc/zabbix/zabbix_agentd.conf

5、然後將zabbix命令改成system.run[cat /etc/zabbix/zabbix_agentd.conf] ,以文字方式取值,果然如猜想的那樣,成功取得檔案內容

6、最後對比/etc/zabbix/zabbix_agentd.conf與/tmp/qq_5201351.txt檔案Context配置的差異,如下

[root@qq5201351 ~]# ls -lZ /etc/zabbix/zabbix_agentd.conf
-rw-r--r--. root root system_u:object_r:etc_t:s0       /etc/zabbix/zabbix_agentd.conf
[root@qq5201351 ~]#
[root@qq5201351 ~]# ls -lZ /tmp/qq_5201351.txt
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 /tmp/qq_5201351.txt

說明:這裡selinux的Context其實分為了4段,使用者資訊,角色資訊、型別資訊、範圍資訊,通過對比分析,加上測試,最終發現是型別資訊影響了

於是,將qq_5201351.txt的型別資訊部分,也修改為etc_t 問題得到解決,修改配置的命令如下:

chcon -t etc_t /tmp/qq_5201351.txt

補充一點:修改使用者資訊(-u, --user=xx),角色資訊(-r, --role=xx),範圍資訊(-l, --range=xx),修改型別也可以--type=xx

 

 

 

尊重別人的勞動成果 轉載請務必註明出處:https://www.cnblogs.com/5201351/p/13720110.html

&n

相關推薦

selinux引起的使用cat檢視檔案Permission denied的問題排查

事件起因:如下 1、在伺服器上root使用者,會定期生成一個檔案,到/tmp目錄,如:qq_5201351.txt,給other加上了r讀取 2、zabbix端會週期性取這臺伺服器/tmp/qq_5201351.txt檔案內容的(只能通過agent方式,system.run[cat /tmp/qq_52013

死坑,mongodb無法啟動 reason: errno:111 Connection refused

localhost.localdomain polkitd[686]: Unregistered Authentication Agent for unix-process:7798:588850 (system bus name :1.165, object path /org/freedesktop/P

tcp_tw_recycle參數引發的血案

not 登陸 解決辦法 pin 有客 cau 只有一個 mps 導致 一,故障描述: 從昨天開始,在值班群中陸續值班人員反映系統後臺存在卡頓問題,如下圖:而且在卡頓的同時登陸服務器也會卡好久。此現象只在一臺服務器有出現。 二,故障分析: 1,登陸服務器查看資源使用top,v

jdk版本導致的錯誤

異常表現 專案本地開發環境啟動正常, 部署到生產環境啟動卡死. 解決步驟 首先當然是找到啟動日誌. 由於專案在windows Server 2012上執行, 註冊為windows服務. 所以不會有控制

echo '' > 引發的問題

本篇文章大概閱讀時間2分鐘 最近公司生產環境伺服器經常記憶體報警,而且多發生在凌晨,見下圖。 由於一直報警,因此寫了一個記憶

讓人的噴血的排經歷

bmi ges brush sub 生成 www blog nsa size 還原場景: 數據庫某個字段設置的長度是nvchar(10),可當時並不知曉啊......結果導致下單接口返回“將截斷字符串或二進制數據”,查了半天(下單參數實在太多)最終追蹤到某個字段長度不夠導致

800多萬XML文字檔案預處理經歷

一.背景 由於某些需求,現需對系統在最近幾個月生成的xml檔案進行預處理,提取<text>標籤內的資料進行分析。這些需要預處理的資料大概有280GB左右880多萬,存放在gysl目錄下,gysl的下一層按天命名,分為若干個目錄,接下來一層目錄下又有多個目錄,我們所需的xml目錄就在這一層。我們現

jdbc連線oracle資料庫佔用CPU過高的問題排查

    背景:     公司有一個通訊系統,主要是通訊資料到客戶端程式所指定的資料庫,目前支援sqlserver、mysql和oracle三種類型的資料庫,此篇主要記錄一次oracle資料庫佔用CPU飆高的問題。   &nbs

問題,linux下的檔案格式的問題

今天做的一個功能,需要將mysql中的資料,存入redis中去,使用了管道的命令,將需要儲存的欄位,拼接為redis命令的檔案,然後,利用linux的管道命令,將資料存入redis中去。   cat redis_commend.txt | redis-cli -p 9600

踩坑經歷(十二)kettle定時任務延遲執行的排過程

生產現場 場景 kettle的.sh批量執行檔案內包含了a.job和b.job,a.job在b.job前面 問題 生產環境下設定的晚上4點執行kettle的b.job作業,4點沒有執行白天12點多執行 排查過程 1.生產環境檢視linux的定時命令

maven父專案pom.xml檔案中的依賴找不到(dependency not found)紅線錯誤

    今天新建了一個maven工程,在父工程中的pom.xml檔案中新增<dependencyManagement>用於管理jar。但是發現:報如圖所示紅線錯誤。我查看了自己的本地倉庫,發現並沒有此jar包,於是以為是無法將jar包下載下來。一頓百度發現也沒解決

log4j日誌寫到錯誤檔案的問題

背景 專案採用log4j2記錄日誌,其中WARN級別日誌單獨記錄,日誌檔案採用RollingFileAppender,每天一個日誌檔案。 問題現象 在10月20號的日誌檔案中,發現了一條10月22日生成的日誌檔案,導致排查問題時漏看了一條日誌。 程式碼

服務釋出之後,圖形驗證碼亂碼的服務排查

由於業務拓展,新買了臺系統為centOS7的伺服器,配置完jdk和nginx之後,將服務釋出到伺服器上並部署啟動,然後重新整理頁面,神奇的事情就出現了:第一個想到的問題,就是進行本地除錯,發現一切正常;於是在生成驗證碼文字的地方加上了logger輸出,再次釋出程式到伺服器上,

隱藏很深的 JVM 線上慘案的分析、排查、解決

1、本文背景 本文會給大家講解一個比較特殊的JVM優化案例,這個優化案例本身是因為新手工程師對JVM優化可能瞭解了一個半吊子,然

記錄阿裏雲服務器升級

running 雲服務器 com 阿裏雲 font 5.1 core maria package 記錄一次阿裏雲服務器升級報錯 ---Email:[email protected] 系統: # cat /etc/redhat-release CentOS L

使用innobackupex重新搭建主從複製解決方法及注意事項

【環境介紹】   系統環境:CentOS release 6.4 (Final) + Server version: 5.7.18-log MySQL Community Server (GPL) + innobackupex version 2.4.12 Linux (x86_64)

藍的成長——追逐DBA(18):小機上WAS集群故障,更換IP引起

linu 是我 單點 看到了 做事 window 可能 fontsize error_log 原創作品。出自 “深藍的blog” 博客,歡迎轉載,轉載時請務必註明出處。否則追究版權法律責任。 深藍的blog:http://blog.csdn.net/huangyanlo

CentOS7進單用戶模式修改密碼的失敗經歷(faild to load SELinux policy freezing)

錯誤 load 解決方法 com IT ash 開啟 bre 學習 背景:Cent SO7.4root用戶密碼忘記,根據https://www.linuxidc.com/Linux/2016-08/134034.htm提供的放法修改完密碼之後系統啟動後一直停留在轉圈的界面(

bug 誤匯入com.sun.org.apache.xpath.internal.operations.String 引起

在學習rabbit時,列印生產者匯入的資訊時,報錯:   Caused by: org.springframework.messaging.converter.MessageConversionException: Cannot convert from [java.lang.St

ZooKeeper啟動成功,卻無法檢視status——Zookeeper“異常”

今天在使用storm時,需要啟動zookeeper依賴叢集。於是使用命令啟動zookeeper叢集,使用命令bin/zkServer.sh start [[email protected] bin]# ./zkServer.sh start ZooKeeper J