记一次由selinux引起的使用cat查看文件内容报错Permission denied的问题排查
Posted on 2020-09-23 19:43 520_1351 阅读(3140) 评论(0) 编辑 收藏 举报事件起因:如下
1、在服务器上root用户,会定期生成一个文件,到/tmp目录,如:qq_5201351.txt,给other加上了r读取
2、zabbix端会周期性取这台服务器/tmp/qq_5201351.txt文件内容的(只能通过agent方式,system.run[cat /tmp/qq_5201351.txt]方式获取)
但是zabbix的web界面的返回结果异常,报错:cat: /tmp/qq_5201351.txt: Permission denied
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
冷静分析:到底是没有权限执行cat命令,还是文件的权限不够(公司服务器都做过很强的安全加固)
排查过程:如下
1、查看文件的权限,结果为-rw-r--r-- ,按理说其他用户就应该有读的权限,查检facl 也没有问题
2、将上面的cat命令替换成ls或者stat,都能够返回有结果,难道是命令的问题,倒也有可能?
a、将cat命令,写成绝对路径,/bin/cat 【还是报错】
b、查看/bin/cat对于zabbix用户是否有执行权限 【有权限】
c、查看cat文件是否设置有facl 【没有设置facl】
[root@qq5201351 ~]# getfacl /bin/cat getfacl: Removing leading '/' from absolute path names # file: bin/cat # owner: root # group: root user::rwx group::r-x other::r-x
d、对比stat命令与cat命令的selinux相关的Context信息(权限与Context信息都是一样的):
[root@qq5201351 ~]# ls -lZ /bin/stat -rwxr-xr-x. root root system_u:object_r:bin_t:s0 /bin/stat [root@qq5201351 ~]# ls -lZ /bin/cat -rwxr-xr-x. root root system_u:object_r:bin_t:s0 /bin/cat [root@qq5201351 ~]#
3、到此基本断定问题还是出在文件的可能性较大,由于公司服务器是做过非常严格的安全加固,zabbix用户没有家目录,shell也还是/sbin/nologin
开始想要su到zabbix分析,但非常困难(非技术困难,困于流程和安全审计),于是最后分析qq_5201351.txt的selinux安全上下文信息:
[root@qq5201351 ~]# ls -lZ /tmp/qq_5201351.txt -rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 /tmp/qq_5201351.txt
4、到此笔者能想到的也就只有是selinux的安全上下文配置了,于是思考去找一个zabbix用户绝对有权限的文件呢?
这里笔者想到通过查看进程,能否找到zabbix用户进程用到的配置文件,居然还真能找到一个,如下:
[root@qq5201351 ~]# ps -ef|grep ^zabbix zabbix 986 1 0 May18 ? 00:00:00 /usr/sbin/zabbix_agentd -c /etc/zabbix/zabbix_agentd.conf
5、然后将zabbix命令改成system.run[cat /etc/zabbix/zabbix_agentd.conf] ,以文本方式取值,果然如猜想的那样,成功取得文件内容
6、最后对比/etc/zabbix/zabbix_agentd.conf与/tmp/qq_5201351.txt文件Context配置的差异,如下
[root@qq5201351 ~]# ls -lZ /etc/zabbix/zabbix_agentd.conf -rw-r--r--. root root system_u:object_r:etc_t:s0 /etc/zabbix/zabbix_agentd.conf [root@qq5201351 ~]# [root@qq5201351 ~]# ls -lZ /tmp/qq_5201351.txt -rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 /tmp/qq_5201351.txt
说明:这里selinux的Context其实分为了4段,用户信息,角色信息、类型信息、范围信息,通过对比分析,加上测试,最终发现是类型信息影响了
于是,将qq_5201351.txt的类型信息部分,也修改为etc_t 问题得到解决,修改配置的命令如下:
chcon -t etc_t /tmp/qq_5201351.txt
补充一点:修改用户信息(-u, --user=xx),角色信息(-r, --role=xx),范围信息(-l, --range=xx),修改类型也可以--type=xx
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/13720110.html
作者:一名卑微的IT民工
出处:https://www.cnblogs.com/5201351
本博客所有文章仅用于学习、研究和交流目的,欢迎非商业性质转载。
由于博主的水平不高,文章没有高度、深度和广度,只是凑字数,不足和错误之处在所难免,希望大家能够批评指出。
博主是利用读书、参考、引用、复制和粘贴等多种方式打造成自己的文章,请原谅博主成为一个卑微的IT民工!