SELinux मामला
यदि वही सुडो कमांड केवल एक डेमॉन में धीमी है और कमांड लाइन पर तेज है, तो यह SELinux के कारण सबसे अधिक संभव है। (SELinux = NSA सुरक्षा-संवर्धित लिनक्स कर्नेल मॉड्यूल, डिफ़ॉल्ट रूप से फेडोरा में सक्षम है।)
एक विशिष्ट मामला http सर्वर और सर्वर प्रबंधन के लिए एक विशेष स्क्रिप्ट है, जिसमें प्रतिबंधित है sudoers
:
apache ALL=(root_or_user) NOPASSWD: /full/path/the_safe_command
यह इस मामले में विशिष्ट है कि ऑडिट लॉग में SELinux के बारे में कुछ भी नहीं बताया गया है ausearch -m avc -ts today
, लेकिन यदि हम अस्थायी रूप से लागू करते हैं तो स्क्रिप्ट तेजी से आगे बढ़ रही है setenforce 0
। (और फिर वापस सक्षम करें setenforce 1
)
सिस्टम लॉग में केवल प्रासंगिक संदेश (journalcrl) 25 सेकंड की देरी के बाद ये हैं:
... sudo [...] pam_systemd (sudo: session): सत्र बनाने में विफल: उत्तर नहीं मिला। संभावित कारणों में शामिल हैं: दूरस्थ अनुप्रयोग ने उत्तर नहीं भेजा, संदेश बस सुरक्षा नीति ने उत्तर को अवरुद्ध कर दिया, उत्तर समय समाप्त हो गया, या नेटवर्क कनेक्शन टूट गया।
... sudo [...]: pam_unix (sudo: session): सत्र उपयोगकर्ता रूट के लिए खोला गया (uid = 0)
सभी साइलेंटेड "न ही-ऑडिट" सेग्लिनक्स संदेशों को लॉग करना सक्षम किया जा सकता है semodule -DB
और फिर से अक्षम किया जा सकता है semodule -B
।
(मुझे उम्मीद है कि मैं इस मामले के लिए जल्द ही एक SELinux नीति मॉड्यूल जल्द ही यहां लिखूंगा या इस उत्तर से एक विधि का उपयोग किया जा सकता है।)