Risolvi errore criteri SELinux del connettore Linux

Opzioni per il download

  • PDF     (247.1 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (81.1 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (66.6 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:12 settembre 2023
ID documento:220545

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive il guasto generato quando il criterio SELinux sul sistema impedisce al connettore di monitorare l'attività del sistema.

    Premesse

    Il connettore richiede che questa regola sia presente nel criterio Secure Enterprise Linux (SELinux) se SELinux è abilitato e in modalità di applicazione: 

    allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };

    Questa regola non è presente nel criterio SELinux predefinito sui sistemi basati su Red Hat. Il connettore tenta di aggiungere questa regola tramite l'installazione di un modulo criteri SELinux denominato cisco-secure-bpf durante un'installazione o un aggiornamento. L'errore viene generato se cisco-secure-bpf non viene installato e caricato oppure è disattivato. L'utente viene informato di un errore 19 come descritto nell'elenco di errori del connettore Linux dell'endpoint sicuro Cisco se l'errore viene sollevato dal connettore.

    Applicabilità

    Questo errore può essere generato dopo una nuova installazione o aggiornamento del connettore o dopo la modifica della regola SELinux del sistema.

    Sistemi operativi

    • Red Hat Enterprise Linux 7
    • CentOS 7
    • Oracle Linux (RHCK/UEK) 7

    Versioni connettore

    • Linux 1.2.0 e versioni successive

    Risoluzione

    Per risolvere questo errore, è possibile procedere in due modi:

    1. Reinstallare o aggiornare il connettore.
    2. Modificare manualmente il criterio SELinux.

    Installa dipendenza

    Entrambi i metodi richiedono il pacchetto "policycoreutils-python" installato sul sistema per compilare e caricare il modulo di policy SELinux. Eseguire questo comando per installare il pacchetto.

    yum install policycoreutils-python

    Reinstallare o aggiornare il connettore

    Un modulo criteri SELinux chiamato cisco-secure-bpf verrà installato per fornire la modifica richiesta ai criteri SELinux durante l'installazione o l'aggiornamento del connettore. Eseguire una reinstallazione o un aggiornamento standard del connettore per questo metodo di risoluzione.

    Modificare manualmente il criterio SELinux

    Un amministratore di sistema deve creare e caricare manualmente un modulo di criteri SELinux per modificare il criterio SELinux. Per caricare la regola dei criteri SELinux richiesta, attenersi alla procedura descritta di seguito.

    1. Salvarlo in un file denominato cisco-secure-bpf.te
      module cisco-secure-bpf 1.0;
require {
type unconfined_service_t;
class bpf { map_create map_read map_write prog_load prog_run };
}
#============= unconfined_service_t ==============
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };​
    2. Compilare e caricare il modulo utilizzando questi comandi.
      checkmodule -M -m -o "cisco-secure-bpf.mod" "cisco-secure-bpf.te"
semodule_package -o "cisco-secure-bpf.pp" -m "cisco-secure-bpf.mod"
semodule -i "cisco-secure-bpf.pp"
    3. Riavviare il connettore per eliminare l'errore.

    Verificare la modifica del criterio SELinux

    Eseguire questo comando per verificare se il modulo criteri cisco-secure-bpf SELinux è installato.

    semodule -l | grep cisco-secure-bpf

    La modifica del criterio SELinux è stata apportata se l'output riporta "cisco-secure-bpf 1.0".

    Eseguire questo comando per verificare se la regola dei criteri SELinux richiesta è presente.

    sesearch -A | grep "unconfined_t unconfined_t : bpf"

    L'errore si risolve dopo il riavvio del connettore se nell'output viene visualizzato il messaggio "allow unconfined_service_t self:bpf { map_create_read map_write prog_load prog_run };".

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    12-Sep-2023
    Sezione "Installa dipendenza" creata per entrambe le soluzioni.
    1.0
    28-Jun-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti