事件起因:如下

1、在服务器上root用户,定期会生成一个文件,到/tmp目录,如:qq_5201351.txt,给other加上了r读取

2、zabbix端会周期性取这台服务器/tmp/qq_5201351.txt文件内容的(只能通过agent方式,system.run[cat /tmp/qq_5201351.txt]方式获取)

但是zabbix的web界面的返回结果异常,报错:cat: /tmp/qq_5201351.txt: Permission denied

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

冷静分析:到底是没有权限执行cat命令,还是文件的权限不够(公司服务器都做过很强的安全加固)

排查过程:如下

1、查看文件的权限,结果为-rw-r--r--   ,按理说其他用户就应该有读的权限,查检facl 也没有问题

2、将上面的cat命令替换成ls或者stat,都能够返回有结果,难道是命令的问题,倒也有可能?

a、将cat命令,写成绝对路径,/bin/cat  【还是报错】

b、查看/bin/cat对于zabbix用户是否有执行权限 【有权限】

c、查看cat文件是否设置有facl  【没有设置facl】

[root@qq5201351 ~]# getfacl /bin/cat

getfacl: Removing leading '/' from absolute path names

# file: bin/cat

# owner: root

# group: root

user::rwx

group::r-x

other::r-x

d、对比stat命令与cat命令的selinux相关的Context信息(权限与Context信息都是一样的):

[root@qq5201351 ~]# ls -lZ /bin/stat

-rwxr-xr-x. root root system_u:object_r:bin_t:s0       /bin/stat

[root@qq5201351 ~]# ls -lZ /bin/cat

-rwxr-xr-x. root root system_u:object_r:bin_t:s0       /bin/cat

[root@qq5201351 ~]#

3、到此基本断定问题还是出在文件的可能性较大,由于公司服务器是做过非常严格的安全加固,zabbix用户没有家目录,shell也还是/sbin/nologin

开始想要su到zabbix分析,但非常困难(非技术困难,困于流程和安全审计),于是最后分析qq_5201351.txt的selinux安全上下文信息:

[root@qq5201351 ~]# ls -lZ /tmp/qq_5201351.txt

-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 /tmp/qq_5201351.txt

4、到此笔者能想到的也就只有是selinux的安全上下文配置了,于是思考去找一个zabbix用户绝对有权限的文件呢?

这里笔者想到通过查看进程,能否找到zabbix用户进程用到的配置文件,居然还真能找到一个,如下:

[root@qq5201351 ~]# ps -ef|grep ^zabbix

zabbix     986     1  0 May18 ?        00:00:00 /usr/sbin/zabbix_agentd -c /etc/zabbix/zabbix_agentd.conf

5、然后将命令上方改成system.run[cat /etc/zabbix/zabbix_agentd.conf] ,以文本方式取值,果然如猜想的那样,成功取得文件内容

6、最后对比/etc/zabbix/zabbix_agentd.conf与/tmp/qq_5201351.txt文件Context配置的差异,如下

[root@qq5201351 ~]# ls -lZ /etc/zabbix/zabbix_agentd.conf

-rw-r--r--. root root system_u:object_r:etc_t:s0       /etc/zabbix/zabbix_agentd.conf

[root@qq5201351 ~]#

[root@qq5201351 ~]# ls -lZ /tmp/qq_5201351.txt

-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 /tmp/qq_5201351.txt

说明:这里selinux的Context其实分为了4段,用户信息,角色信息、类型信息、范围信息,通过对比分析,加上测试,最终发现是类型信息影响了

于是,将qq_5201351.txt的类型信息部分,也修改为etc_t 问题得到解决,修改配置的命令如下:

chcon -t etc_t /tmp/qq_5201351.txt

补充一点:修改用户信息(-u, --user=xx),角色信息(-r, --role=xx),范围信息(-l, --range=范围),修改类型也可以--type=xx

尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/13720110.html

记一次由selinux引起的使用cat查看文件报错Permission denied的问题排查的更多相关文章

  1. 记一次root用户在本地登录及SSH连接均遭遇permission denied的问题排查经过

    某日一位老师反映,机房的6号节点无法登录了.一开始以为是为节点防火墙配置IP白名单时忘记了加进去,但随后发现此节点并未进行白名单配置,密码也一直未有变更,于是在自己的电脑上连接,发现终端里很快显示出了 ...

  2. apache 访问权限出错,apache selinux 权限问题, (13) Permission Denied

    今天在使用 httpd 做文件服务器的时候,发现 png 图像没有打开,但是原本www/html 文件夹内部的文件就可以打开.后来猜测是selinux 的问题,之前一直想写一篇关于selinux 的博 ...

  3. 记Git报错-refusing to merge unrelated histories

    记Git报错-refusing to merge unrelated histories   系统:win7 git版本: 2.16.2.windows.1 问题 1.本地初始化了git仓库,放了一些 ...

  4. ansible报错Aborting, target uses selinux but python bindings (libselinux-python) aren't installed【转】

    报错内容: TASK [activemq : jvm configuration] ********************************************************** ...

  5. centos 关闭selinux 临时关闭selinux 报错 setenforce: setenforce() failed

    关闭selinux的方法有两种:临时关闭和永久关闭. 查看selinux的状态:estatus [root@--- ~]# sestatus SELinux status: enabled SELin ...

  6. ansible报错Aborting, target uses selinux but python bindings (libselinux-python) aren't installed

    报错内容: TASK [activemq : jvm configuration] ********************************************************** ...

  7. mysql启动报错,与selinux相关

    mysql启动报错,与selinux相关 如果遇到报错,可能的情况是 selinux 的关系,可以安装 setroubleshoot-server 工具,使用 sealert -a /var/log/ ...

  8. 记一次用python 的ConfigParser读取配置文件编码报错

    记一次用python 的ConfigParser读取配置文件编码报错 ...... raise MissingSectionHeaderError(fpname, lineno, line)Confi ...

  9. vmware启动报错:Failed to load SELinux policy. Freezing

    修改 : SELINUX=disabled     正确 误修改: SELINUXTYPE=disabled   错误 导致无法开机 错误结果 重启后 机器就报 Failed to load SELi ...

随机推荐

  1. python基础 Day3

    python Day3 1.作业回顾 设定一个理想的数字比如88,让用户输入数字,如果比88大,则显示猜测的结果大:如果比66小,则显示猜测的结果小了,给用户三次猜测机会,如果显示猜测正确退出循环,如 ...

  2. arp_ignore与arp_announce

    arp_ignore:定义接收到ARP请求时的响应级别0:只要本地设置的有相应的地址,就给予响应.(默认)1:仅回应目标IP地址是本地的入网地址的arp请求.2:仅回应目标IP地址是本地的入网地址,而 ...

  3. 解决使用git,ssh每次都要输入密码

    建议:生成ssh 公钥私钥的时候,不要输入密码. 解决方案: 1.修改密码:使用命令 ssh-keygen -p 然后修改密码的时候直接回车,也就是把密码置空. 2.重新生成ssh key, 用 ss ...

  4. python编译错误ValueError: Complex data not supported

    今天在用python跑一个k-means算法与谱聚类算法对比的程序时,谱聚类的图不能出来,编译报错 后来,多亏了这位GitHub用户,找到了解决办法,是因为在运算过程中出现了复数,因此要进行强制转换 ...

  5. 算法-搜索(3)AVL树

    AVL树高度平衡的二叉搜索树,任一点的平衡印章只能是+1.-1.0,从而尽量降低树的高度. 如果它有n个结点,高度可保持在O(log2n),平均搜索长度也可保持在O(log2n). (1)AVL树的插 ...

  6. HYSBZ - 2243 树链剖分 + 线段树 处理树上颜色段数

    用线段树处理颜色段数 记录区间内的颜色段数,区间右端点的颜色,区间右端点的颜色. int tr[maxn<<2], lc[maxn<<2], rc[maxn<<2] ...

  7. Jupyter Notebook 入门指南

    https://www.jianshu.com/p/061c6e5c4b0d cmd输入 :jupyter notebook

  8. 微众银行FATE联邦学习框架

    参考:https://github.com/webankfintech/fate https://www.fedai.org/#/ 一.Docker Standalone 安装 FATE $ sh b ...

  9. Locust性能测试1--简介安装及基本使用

    1. Locust简介 Locust是易于使用的分布式用户负载测试工具,旨在对网站(或其他系统)进行负载测试,并弄清一个系统可以处理多少个并发用户,Locust翻译过来是蝗虫的意思,在测试期间,意在一 ...

  10. Shell编程—正则表达式

    1什么是正则表达式 1.1定义 正则表达式是你所定义的模式模板,Linux工具可以用它来过滤文本.Linux 工具(比如sed编辑器或gawk程序)能够在处理数据时使用正则表达式对数据进行模式匹配. ...