然而,其中一个副作用是linux认为(有点正确)它有几千(~15-20k)用户.我们已经看到了几个似乎与SElinux相关的问题(其中一个是https://serverfault.com/questions/236419/usr-bin-install-hangs-apparently-due-to-selinux).其他一些问题包括:
> dmesg反复报道,restorcon被oom-killer杀死
>在某些服务器上启动需要很长时间 – 这发生在内核加载之后,显然是在读取卷组期间,同时也是在运行restorecon启动脚本时.
> yum update挂起(类似于关于mmap / munmap的my SELinux/GNU ‘install’问题的行为)
我们在许可模式下看到了SElinux的这些问题.当我们完全禁用SElinux时,它们会消失.禁用SElinux是一种选择.我还在研究如何使用OU或组限制AD向linux提供的用户数量.但是我的书呆子总是想知道更多.
所以这是一个非常广泛的问题 – 但任何人都有任何建议与大量用户打交道SElinux?我对SElinux并不是特别熟悉 – 但这可能是学习的机会.
解决方法 这对我来说就像是对libselinux的疏忽.这里的“修复”是将旧的/etc/selinux/targeted/contexts/files/file_contexts.homedirs重命名为其他内容.创建一个新的(通常包含几个通用正则表达式,您可以在原始文件的顶部找到),然后将该文件设置为不可变,以便策略重写器不重新生成文件(这在新的selinux策略时会发生-targeted rpm已部署).
这样可以防止你得到的cpu咀嚼.
您的问题发生是因为restorecond打开此文件作为扫描用户目录中文件的参考,必须始终保护文件不受无效文件标签更改的影响.但由于您的文件包含数千个条目,因此扫描会占用大量cpu.
我怀疑在创建库时从未考虑过这个问题,并且可能需要从SElinux端重新考虑.但就目前而言 – ‘修复’应该有效.
总结以上是内存溢出为你收集整理的如何在SELinux中处理大量用户?全部内容,希望文章能够帮你解决如何在SELinux中处理大量用户?所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)