У меня вопрос, похожий на этот: Политика SELinux для Zabbix сервера
но немного другое: У меня есть Zabbix-сервер, работающий на RHEL 6, когда я включаю selinux, я получаю эту ошибку:
Error connecting to database: Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (13)
то я нашел несколько сообщений об ошибках из / var / log / message:
Jun 1 00:19:02 ns1 setroubleshoot: SELinux is preventing /usr/sbin/httpd from write access on the sock_file mysql.sock. For complete SELinux messages. run sealert -l 65dd779a-a01b-42de-9aaf-65795758aba1
и
Jun 1 00:04:52 ns1 setroubleshoot: SELinux is preventing /usr/sbin/zabbix_server_mysql from search access on the directory /var/lib/mysql. For complete SELinux messages. run sealert -l bdfa536a-e059-4598-8284-4d40c218078f
Затем я последовал советам:
[root@ns1 ~]# sealert -l 65dd779a-a01b-42de-9aaf-65795758aba1
SELinux is preventing /usr/sbin/httpd from write access on the sock_file mysql.sock.
***** Plugin catchall (100. confidence) suggests ***************************
If you believe that httpd should be allowed write access on the mysql.sock sock_file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# grep httpd /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp
Additional Information:
Source Context system_u:system_r:httpd_t:s0
Target Context system_u:object_r:zabbix_exec_t:s0
Target Objects mysql.sock [ sock_file ]
Source httpd
Source Path /usr/sbin/httpd
Port <Unknown>
......
затем я выполнил команду:
grep httpd /var/log/audit/audit.log | audit2allow -M mypol
semodule -i mypol.pp
после этого проблема 1 была решена, но в нем говорится, что сервер Zabbix не запущен, поэтому я последовал совету по решению проблемы 2:
[root@ns1 ~]# sealert -l bdfa536a-e059-4598-8284-4d40c218078f
SELinux is preventing /usr/sbin/zabbix_server_mysql from search access on the directory /var/lib/mysql.
......
Вы можете создать модуль локальной политики, чтобы разрешить этот доступ. Разрешите этот доступ на данный момент, выполнив:
grep zabbix_server /var/log/audit/audit.log | audit2allow -M mypol
semodule -i mypol.pp
......
[root@ns1 ~]# grep zabbix_server /var/log/audit/audit.log | audit2allow -M mypol
[root@ns1 ~]# semodule -i mypol.pp
после того, как я выполнил команду для решения проблемы 2, проблема 1 возникла снова, скажите мне, что делать, я не хочу отключать selinux, большое спасибо. кстати я уже выставил httpd_can_network_connect = 1
Я знаю, что это очень старый, но я столкнулся с теми же проблемами при установке Zabbix 5.
После запуска
# dnf -y install policycoreutils-python-utils
# grep "denied.*zabbix" /var/log/audit/audit.log | audit2allow -M zabbix_policy
# semodule -i zabbix_policy.pp
как описано, например, в https://bestmonitoringtools.com/how-to-install-zabbix-server-on-centos-or-rhel/#Step_12_Enable_and_configure_SELinux_on_Zabbix Мне также пришлось бежать
grep "denied.*php-fpm" /var/log/audit/audit.log | audit2allow -M php-fpm_policy
semodule -i php-fpm_policy.pp
Эти команды в сочетании с
setsebool -P httpd_can_connect_zabbix 1
setsebool -P zabbix_can_network 1
setenforce 1 && sed -i 's/^SELINUX=.*/SELINUX=enforcing/g' /etc/selinux/config
позволил мне полностью использовать Zabbix с включенным SELinux.