Introdução
Este documento descreve a falha levantada quando a política SELinux no sistema impede que o conector monitore a atividade do sistema.
Informações de Apoio
O conector exige que esta regra esteja na política do Secure Enterprise Linux (SELinux) se o SELinux estiver ativado e no modo de imposição:
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
Esta regra não está presente na política padrão do SELinux em sistemas baseados no Red Hat. O conector tenta adicionar essa regra através da instalação de um módulo de política SELinux chamado cisco-secure-bpf durante uma instalação ou atualização. A falha é gerada se cisco-secure-bpf falha ao instalar e carregar ou está desabilitado. O usuário é notificado sobre uma Falha 19, conforme descrito na lista de Falhas do Conector do Cisco Secure Endpoint Linux, se essa falha for ocasionada pelo conector.
Aplicabilidade
Essa falha pode ser gerada após uma nova instalação ou atualização do Connector, ou após a modificação da política SELinux do sistema.
Sistemas operacionais
- Red Hat Enterprise Linux 7
- CentOS 7
- Oracle Linux (RHCK/UEK) 7
Versões do conector
Resolução
Há dois métodos para resolver essa falha:
- Reinstalar ou atualizar o conector.
- Modificar manualmente a política do SELinux.
Instalar dependência
Ambos os métodos requerem o pacote "policycoreutils-python" instalado no sistema para criar e carregar o módulo de política SELinux. Execute este comando para instalar este pacote.
yum install policycoreutils-python
Reinstalar ou atualizar o conector
Um módulo de política SELinux chamado cisco-secure-bpf será instalado para fornecer a modificação de política SELinux necessária durante uma instalação ou atualização do conector. Execute uma reinstalação ou atualização padrão do conector para este método de resolução.
Modificar manualmente a política do SELinux
Um administrador do sistema deve criar e carregar manualmente um módulo de política do SELinux para modificar a política do SELinux. Execute estas etapas para carregar a regra de política SELinux necessária:
- Salve-o em um arquivo chamado cisco-secure-bpf.te
module cisco-secure-bpf 1.0;
require {
type unconfined_service_t;
class bpf { map_create map_read map_write prog_load prog_run };
}
#============= unconfined_service_t ==============
allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };
- Construa e carregue o módulo usando estes comandos.
checkmodule -M -m -o "cisco-secure-bpf.mod" "cisco-secure-bpf.te"
semodule_package -o "cisco-secure-bpf.pp" -m "cisco-secure-bpf.mod"
semodule -i "cisco-secure-bpf.pp"
- Reinicie o Conector para eliminar a falha.
Verificar a modificação da política do SELinux
Execute este comando para verificar se o módulo de política cisco-secure-bpf SELinux está instalado.
semodule -l | grep cisco-secure-bpf
A modificação da política do SELinux ocorreu se a saída relatar "cisco-secure-bpf 1.0".
Execute este comando para verificar se a regra de política SELinux necessária está presente.
sesearch -A | grep "unconfined_t unconfined_t : bpf"
A falha será eliminada após o conector ser reiniciado se a saída informar "allow unconfined_service_t self:bpf { map_create map_read map_write prog_load prog_run };".