Perché il comando setsebool di SELINUX impiega così tanto tempo e tempo?

9

Ho notato che il comando setsebool impiega più tempo di altri comandi di Linux. Ad esempio:

setsebool -P ftp_home_dir ON

Per curiosità, voglio sapere perché il comando "setsebool" ha bisogno di così tanto tempo per completare l'attività?

selinux 
Xianlin
fonte
1
time setsebool -P ftp_home_dir ON. Quanto tempo pensi da molto tempo?
Giordania,
1
provato il comando come sopra e il tempo "reale" è di circa 30 sec. Di solito un normale comando Linux time setenforce 0darà circa 0,011 secondi di tempo "reale". Sento che 30 secondi sono un po 'lunghi e ti chiedi cosa sta succedendo nel backend?
Xianlin
strace -f setsebool -P ftp_home_dir ONe vedere esattamente dove sta prendendo il suo dolce momento.
Flup,
Penso di aver bisogno di più conoscenze di programmazione per capire l'output di strace..immagino sia perché selinux comporta troppi cambiamenti di livello "profondo" sul sistema linux ed è per questo che ci vuole così tanto tempo per completare un comando.
Xianlin
SELinux ha bisogno di ricompilare le sue regole quando fai una modifica? Ho pensato di ricordare di averlo letto da qualche parte.
functionvoid

Risposte:

5

Il motivo per cui è così lento è perché sta eseguendo una compilazione completa del criterio quando si esegue il comando. (Vedi questo BZ: https://bugzilla.redhat.com/show_bug.cgi?id=811656 , Dan Walsh è uno dei manutentori della politica SELinux su RHEL e Fedora). È stato risolto nelle versioni successive di Fedora, il che significa che probabilmente verrà risolto in EL7 e probabilmente nelle versioni successive di EL6.

jsbillings
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.