如何在SELinux中处理大量用户?

前端之家收集整理的这篇文章主要介绍了如何在SELinux中处理大量用户?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
不久前,我们开始在我们的 Linux服务器上针对Active Directory验证用户身份.就实际的身份验证部分而言,事情进展顺利.

然而,其中一个副作用是Linux认为(有点正确)它有几千(~15-20k)用户.我们已经看到了几个似乎与SELinux相关的问题(其中一个是https://serverfault.com/questions/236419/usr-bin-install-hangs-apparently-due-to-selinux).其他一些问题包括

> dmesg反复报道,restorcon被oom-killer杀死
>在某些服务器上启动需要很长时间 – 这发生在内核加载之后,显然是在读取卷组期间,同时也是在运行restorecon启动脚本时.
> yum update挂起(类似于关于mmap / munmap的my SELinux/GNU ‘install’问题的行为)

我们在许可模式下看到了SELinux的这些问题.当我们完全禁用SELinux时,它们会消失.禁用SELinux是一种选择.我还在研究如何使用OU或组限制AD向Linux提供的用户数量.但是我的书呆子总是想知道更多.

所以这是一个非常广泛的问题 – 但任何人都有任何建议与大量用户打交道SELinux?我对SELinux并不是特别熟悉 – 但这可能是学习的机会.

解决方法

这对我来说就像是对libselinux的疏忽.

这里的“修复”是将旧的/etc/selinux/targeted/contexts/files/file_contexts.homedirs重命名为其他内容.创建一个新的(通常包含几个通用正则表达式,您可以在原始文件的顶部找到),然后将该文件设置为不可变,以便策略重写器不重新生成文件(这在新的selinux策略时会发生-targeted rpm已部署).

这样可以防止你得到的cpu咀嚼.

您的问题发生是因为restorecond打开此文件作为扫描用户目录中文件的参考,必须始终保护文件不受无效文件标签更改的影响.但由于您的文件包含数千个条目,因此扫描会占用大量cpu.

我怀疑在创建库时从未考虑过这个问题,并且可能需要从SELinux端重新考虑.但就目前而言 – ‘修复’应该有效.

猜你在找的Linux相关文章