Eine Geschichte, die schrecklich war, wenn SELinux richtig deaktiviert war

Mit Selbstmahnung über die Enge, die CentOS nicht starten wird.

Ursache: SELinux-Fehlkonfiguration

Ja, wie üblich habe ich mich bei CentOS 7.4 angemeldet und versucht, SELinux dauerhaft zu deaktivieren.

5.4.2. SELINUX deaktivieren Um SELinux zu deaktivieren, setzen Sie SELINUX = deaktiviert in / etc / selinux / config.

Es war jedoch der Beginn des Elends, dass ich versehentlich die Option "SELINUX TYPE" anstelle der richtigen Option "SELINUX" deaktiviert habe.

vi /etc/selinux/config

image.png

Server, der nicht hochfährt

Wenn ich denke, dass die Einstellung abgeschlossen ist und das Betriebssystem neu startet, wird es überhaupt nicht angezeigt. Um richtig zu sein, funktioniert es auch nach 10 Minuten Wartezeit vom CentOS-Startbildschirm nicht. image.png

Wenn ich mich zwangsweise ausschalte und auf den Konsolenbildschirm schaue, lauten die Worte [SELinux-Richtlinie konnte nicht geladen werden] ... image.png

Zu diesem Zeitpunkt wurde mir klar, dass ich es getan hatte.

Dieses Mal habe ich die Option [SELUINUXTYPE] festgelegt, um eine erweiterte Zugriffskontrolle (MLS usw.) für Benutzer und Dateien durchzuführen. SELinux liest diese Einstellung beim Booten des Betriebssystems und verarbeitet sie gegebenenfalls. Wenn diese Einstellung für ein Argument nicht vorhanden ist, tritt eine Kernel-Panik auf.

Referenz

5.3. Hauptkonfigurationsdatei SELINUXTYPE=targeted Die Option SELINUXTYPE legt die zu verwendende SELinux-Richtlinie fest. Die Zielrichtlinie ist die Standardrichtlinie. Ändern Sie diese Option nur, wenn Sie die MLS-Richtlinie verwenden möchten.

Grundlagen der erzwungenen Zugriffskontrolle (SELinux) MLS(Multi Level Security) MLS ist eine Funktion, die der kategorienbasierten Zugriffskontrolle (MCS) eine stufenbasierte Zugriffssteuerung hinzufügt. Sie haben eine genaue Kontrolle darüber, auf welche Benutzer und Prozesse zugegriffen werden kann, und bieten ein sehr hohes Maß an Sicherheit. Es kann jedoch gesagt werden, dass es sich um eine Funktion handelt, die in nationalen Verteidigungs- / Militärsystemen verwendet wird, die schwer zu bedienen und zu verwalten sind und eine starke Sicherheit erfordern.

[fedora WIKI]SELinux/Config When booting up the machine, init uses libselinux to read this file, and determines which policy to load and what mode to put the machine in.*

Melden Sie sich im Einzelbenutzermodus an

Ich konnte mich nicht erneut anmelden ... Ich habe nur versucht, mich im Einzelbenutzermodus von grub aus anzumelden.

Wie ich später untersucht habe, scheint die Methode zum Setzen von [SELinux = 0] in der Grub-Kernel-Option ebenfalls zu funktionieren. Centos7: SELinux von grub deaktivieren und booten

Die virtuelle Konsole fällt mit einem Fehler aus

Um grub zu betreiben und sich im Einzelbenutzermodus anzumelden, muss nach dem Einschalten des Geräts schnell gearbeitet werden.

Der Server ist diesmal eine VM unter ESXi6.5, und ich habe versucht, ihn mit der virtuellen Webkonsole von vSphere Web Client zu betreiben. Jedes Mal, wenn ich das Betriebssystem einschalte und die virtuelle Webkonsole starte, um den Grub-Bildschirm zu bedienen, wird Folgendes ausgeführt Nachricht ist herausgekommen.

image.png

Ein unerwarteter Fehler ist aufgetreten.
Der Client arbeitet möglicherweise weiter, aktualisiert jedoch jetzt den Browser und
Wir empfehlen Ihnen, einen Fehlerbericht einzureichen.

Wenn Sie [Neu laden] gemäß diesem Ausnahmefenster ausführen, kehren Sie immer zum Anmeldebildschirm von vSphere Web Client zurück, sodass Sie beim Anmelden zu einer Kernel-Panik gekommen sind ... Schalten Sie die Stromversorgung aus ... Schalten Sie die Stromversorgung ein ... ・ Ich habe die Qual der Wiederholung genossen ...


** [Lösung: Fenster mit ESC-Taste schließen] ** Dies ist kein offizielles Wissen, da es sich um ein System handelt, das ich zufällig während eines Kampfes von etwa 20 Minuten entdeckt habe. Dieses Ausnahmefenster verschwindet jedoch, wenn ich die Taste ** ESC drücke. ** Sie können jetzt problemlos in den Madenbetrieb eintreten.

Grub-Boot, Änderung der Kernel-Parameter, OS-Boot

Um Bash im Einzelbenutzermodus zu starten, habe ich versucht, das Betriebssystem durch Spielen mit den Kernel-Parametern zu starten.

Wählen Sie zuerst das Betriebssystem aus und drücken Sie [e], um den Bearbeitungsmodus aufzurufen. image.png

Schreiben Sie den Kernel-Parameter nach ro in der Zeile [linux16] in rw init = / bin / sh um.

image.png Dies image.png Diesen Weg

Wenn Sie dann [Strg-x] drücken, wird das Betriebssystem hochgefahren und Sie können Befehle annehmen. image.png

Wenn Sie [init = / bin / sh] an den Kernel-Parameter übergeben und starten, bedeutet dies, dass Sie das übliche Lesen von / etc / inittab überspringen und sh vorerst starten.

Referenz
kernel-parameters.txt https://www.kernel.org/doc/Documentation/admin-guide/kernel-parameters.txt
Grundlegendes zu "Systemd" -Systemstart- http://equj65.net/tech/systemd-boot/ >

Nachdem die Bash gestartet wurde, ändern Sie das ~~ Root-Passwort und stellen Sie die ~~ Einstellungen wieder her.

vi /etc/selinux/config

Kann nicht Betreten:

Nach dem Ändern der Einstellung "SELINUXTYPE = disabled" in "SELINUXTYPE = target" in vi wird beim Beenden mit ": wq" die Taste ":" nur als ";" eingegeben, unabhängig davon, wie oft ich sie drücke. ..

Da bei dieser Startmethode des Betriebssystems die Tastatur in Englisch eingegeben wird, wurde festgestellt, dass die Tastenanzeigesymbole auf der japanischen Tastatur und der Eingabeinhalt völlig unterschiedlich sind.

(Apropos, wenn ich Kernel-Parameter mit grub bearbeite, kann ich das Symbol = nicht eingeben, aber da es ein = in der Nähe der Einstellung gibt, habe ich versucht, es zu verwenden, ohne es zu löschen.)

Natürlich können Sie es unter Berücksichtigung von Unterschied zwischen japanischer und englischer Tastatur drücken, aber in meinem geliebten Topre REAL FORCE ** Leider wurde, selbst wenn ich alle Tasten mit / ohne Verschiebung ausprobiert habe, eine mysteriöse Falle eingerichtet, in der : und = nicht eingegeben wurden **.


** [Lösung: Speichern ohne Symbole] **

Ich habe diesmal gelernt, ohne zu lernen, aber es ist möglich, zusätzlich zu: wq in vi mit ZZ zu überschreiben und zu speichern. Wenn es nicht da wäre, wäre es vorbei. Dies wird es speichern.

image.png

Ich konnte es sicher retten. Versuchen Sie einen Neustart.

image.png

Es begann ohne Probleme und erholte sich. Die Lösung!

Schließlich

Es ist nur config, aber config, ich habe es einfach überprüft. Diesmal war es die vorliegende Verifizierungsumgebung, aber als ich dachte, dass die Konsole eine Remote-Umgebung ist, die nur lokal verfügbar ist, war das wirklich lächerlich. Überprüfen Sie nach dem Einstellen unbedingt die Übereinstimmung mit der angenommenen Konfiguration ...

Referenz

5.4.2 SELINUX deaktivieren https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/security-enhanced_linux/sect-security-enhanced_linux-enabling_and_disabling_selinux-disabling_selinux

5.3. Primäre Konfigurationsdatei https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/security-enhanced_linux/sect-security-enhanced_linux-working_with_selinux-main_configuration_file

Grundlagen der Zwangszugriffskontrolle (SELinux) https://thinkit.co.jp/article/13296

[fedora WIKI]SELinux/Config https://fedoraproject.org/wiki/SELinux/Config

SELinux-Memorandum https://qiita.com/JhonnyBravo/items/2012250c1cec9a682b86

Nach dem Deaktivieren von SELinux kam es zu einer Kernel-Panik und konnte nicht gestartet werden. https://www.ipentec.com/document/linux-boot-kernel-panic-after-selinux-disabled

Centos7: Beginnen Sie mit SELinux, das von grub deaktiviert ist https://okisanjp.hatenablog.jp/entry/archives/771

SELinux Reintroduction-Basics- https://www.ffri.jp/assets/files/monthly_research/MR201406_A%20Re-introduction%20to%20SELinux_JPN.pdf

25.10 Bearbeiten des Terminalmenüs während des Startvorgangs In Red Hat Enterprise Linux 7 entspricht der Rettungsmodus dem Einzelbenutzermodus und erfordert ein Root-Kennwort. https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/system_administrators_guide/sec-terminal_menu_editing_during_boot

Ändern Sie das Root-Passwort im CentOS7-Einzelbenutzermodus https://it.rin-ka.net/centos7-single-mode/

Root-Passwort zurücksetzen https://www.server-world.info/query?os=CentOS_7&p=resetpass

Greifen Sie über eine serielle Konsole auf den GRUB- und Einzelbenutzermodus zu https://docs.microsoft.com/ja-jp/azure/virtual-machines/troubleshooting/serial-console-grub-single-user-mode

Grundlegendes zu "Systemd" -Systemstart- http://equj65.net/tech/systemd-boot/

kernel-parameters.txt https://www.kernel.org/doc/Documentation/admin-guide/kernel-parameters.txt

26.3. Boot im Einzelbenutzermodus (Grub Legacy) https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/5/html/installation_guide/s1-rescuemode-booting-single

Red Hat Enterprise Linux - Ich möchte im Einzelbenutzermodus booten (Grub Legacy). https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-c01982340

So geben Sie gleich "=" in GRUB ein https://users.miraclelinux.com/support/?q=node/154

Recommended Posts

Eine Geschichte, die schrecklich war, wenn SELinux richtig deaktiviert war
Eine Geschichte, die Seaborn einfach, bequem und beeindruckt war
Eine Geschichte, von der ich bei np.where süchtig war
Eine Geschichte, die ich süchtig danach war, Lambda von AWS Lambda anzurufen.
Eine Geschichte, die Schwierigkeiten hatte, 3 Millionen ID-Daten in einer Schleife zu verarbeiten
Stolpern Geschichte über die Installation von Matplotlib
Die Geschichte, dass XGBoost endlich installiert wurde
Eine Geschichte, die manchmal nicht funktioniert, wenn pip die neueste ist
Eine Geschichte, der ich nach der SFTP-Kommunikation mit Python verfallen war
Python-Memo- "wenn nicht A und B" war "wenn (nicht A) und B"
Eine Geschichte, die praktisch war, als ich versuchte, das Python-IP-Adressmodul zu verwenden
Eine Geschichte über einen Fehler, wenn PyInstaller in einem Programm verwendet wird, das googleapiclient verwendet