1. Zuhause
  2. Frage und Antwort
  3. SELinux PHP exec Blockierung (‚töten pid‘) ohne Fehler in Protokoll

SELinux PHP exec Blockierung (‚töten pid‘) ohne Fehler in Protokoll

2016-04-04 15 views
0

Ich versuche, einen Prozess PID zu erhalten und es mit diesem Code töten:SELinux PHP exec Blockierung (‚töten pid‘) ohne Fehler in Protokoll

<?php 
error_reporting(E_ALL); 
ini_set('display_errors', '1'); 

$_script_path = "/path/to/scriptname.php"; 

$cmd_find_process = "ps aux | grep '[p]hp -f ".$_script_path."'"; 

echo $cmd_find_process.PHP_EOL; 
echo exec($cmd_find_process); 
echo PHP_EOL.PHP_EOL; 

$cmd = "kill $(".$cmd_find_process." | awk '{print $2}')"; 
echo $cmd; 
echo exec($cmd); 
?>

Anfang konnte ich nicht Prozesse Liste, die ich reparierte eine benutzerdefinierte SELinux Modul kompilieren, selinux-httpd-allow-ps-aux.te:

policy_module(myhttpd,1.0.0) 

gen_require(` 
    type httpd_t; 
') 

domain_read_all_domains_state(httpd_t);

ich habe bereits deaktiviert dontaudit Aussagen mit:

semodule -DB

Aber ich kann keinen Prozess beenden, den ich zuvor von demselben Benutzer gestartet habe: Apache. In der Datei /var/log/audit/audit.log wurden keine Fehler protokolliert.

Für ein vollständiges Verständnis, der PHP-Skript, das ich mit diesem Befehl ausgeführt zu töten bin versucht wird:

su -s /bin/sh apache -c php -f /path/to/scriptname.php

Ich weiß, es SELinux ist, weil das Ausschalten SELinux mit

echo 0 > /selinux/enforce

machen es funktioniert.

Quelle

2016-04-04 Gotenks

Antwort

0

Anscheinend musste ich Auditd neu starten, damit die Fehler auftauchen.

service auditd restart

Dies ist der Fehler:

type=AVC msg=audit(1459790992.546:15889813): avc: denied { signal } for pid=25478 comm="sh" scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:system_r:initrc_t:s0 tclass=process 
    Was caused by: 
     Missing type enforcement (TE) allow rule. 

     You can use audit2allow to generate a loadable module to allow this access.

ich das Problem durch das audit2allow Werkzeug lösen konnte. Dies ist das generierte benutzerdefinierte Modul, das das Problem behoben hat.

module selinux-httpd-allow-signal 1.0; 

require { 
     type httpd_t; 
     type initrc_t; 
     class process signal; 
} 

#============= httpd_t ============== 
allow httpd_t initrc_t:process signal;

Quelle

2016-04-04 17:38:09 Gotenks

 Verwandte Themen

  • Keine verwandten Themen^_^