Làm cách nào tôi có thể thực hiện đăng ký lại hệ thống tập tin SELINUX mà không cần khởi động lại trước?

3

Tôi có thể chạm vào tập tin /.autorelabel và khởi động lại và trong quá trình khởi tạo trở lại, nó sẽ thực hiện việc dán lại TỰ TIN cho tôi. Nhưng tôi muốn làm điều này trong một tình huống khác trong đó hệ thống vừa được sao chép vào hình ảnh ổ cứng. Tôi có thể chroot vào cây tập tin gốc hoặc chroot vào hình ảnh thiết bị vừa được điền và chạy nó. Tôi không thể tìm thấy bất cứ điều gì nói những gì sẽ được chạy.

Hình ảnh này đang được tạo thành AMI trên AWS EC2 và chứa CentOS 6.3. Nhưng thời gian cần thiết để dán lại là quá dài (6 phút trở lên). Tôi muốn chuyển nhãn lại sang bản dựng hình ảnh trong đó thời gian thêm không phải là vấn đề (vì nó xảy ra một lần thay vì mỗi lần AMI được khởi chạy). Tôi có thể làm cho nhãn này trở thành thứ cuối cùng ngay trước khi hệ thống tập tin được ngắt kết nối lần cuối cho đến khi nó trở thành AMI và sẽ khởi chạy. Tôi chỉ cần biết những gì để gọi để làm điều đó.

Tôi đã tìm kiếm các trang người đàn ông không có may mắn. Tôi đã tìm kiếm các tập lệnh init hệ thống nhưng nơi /.autorelabel được phát hiện, không rõ chuyện gì đang xảy ra.

Các tài liệu như http://www.centos.org/docs/5/html/5.2/Deployment_Guide/sec-sel-fsrelabel.html chỉ cho biết cách thực hiện những việc vẫn thực sự làm sau khi khởi động lại. Tôi cần phải hoàn thành công việc TRƯỚC KHI "khởi động lại" (ngắt kết nối, xây dựng AMI và khởi động sẵn sàng để đi).

Điểm quan trọng là ... vâng, sẽ có một khởi động lại ... nhưng tôi muốn công việc dán lại được thực hiện trước đó để nó không được thực hiện mỗi khi AMI được khởi chạy (vì mất quá nhiều thời gian).

amazon-web-services  centos6  selinux 
Skaperen
nguồn

Câu trả lời:

1

Nếu bạn đang sao chép tệp từ hệ thống tệp này sang hệ thống tệp khác, bạn có thể:

  • Nếu sử dụng cp, hãy thêm -ctùy chọn để sao chép bối cảnh SELinux.
  • Nếu sử dụng tar, hãy thêm --selinuxtùy chọn để sao chép bối cảnh SELinux.

Điều này có thể giúp bạn tiết kiệm thời gian bằng cách đảm bảo rằng các tệp đích có bối cảnh dự kiến, giả sử rằng bối cảnh là chính xác để bắt đầu.

Đối với fixfiles, nó là một trình bao bọc cho restorecon, đó là những gì tôi thường sử dụng. Khi /.autorelabelcó mặt, tập lệnh init chạy restorecon -p -r /, in các dấu chấm trong sáu phút và sau đó khởi động lại sau đó. Tôi thích -vcho một danh sách dài dòng của các bối cảnh đã thay đổi, thay vì -p. Dù bằng cách nào, bạn nên chrootvào hệ thống tập tin trước khi bạn chạy nó.

Michael Hampton
nguồn
Lệnh "restorecon" là câu trả lời. Hóa ra comnand "fixfiles" của tôi chỉ cần đặt /.autorelabel và thậm chí không đề xuất khởi động lại.
Skaperen
0

Lệnh fixfiles relabelcó thể được sử dụng để dán nhãn lại một hệ thống tập tin mà không cần khởi động lại. Hầu hết mọi người nên đọc các cảnh báo ở cuối hướng dẫn Triển khai Centos nói về việc gắn nhãn lại hệ thống tệp , nhưng đó không phải là vấn đề với việc khởi động lại sắp xảy ra.

Jeff Ferland
nguồn
Vấn đề là "khởi động lại sắp xảy ra" thực sự là một khởi động cá thể trên đám mây và tôi đang cố gắng tránh sự chậm trễ 10 phút trong thời gian khởi chạy.
Skaperen
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.