root时拒绝systemctl访问

当我跑步

sudo systemctl disable avahi-daemon.socket

我懂了

Failed to execute operation: Access denied

但是它以root身份运行，如何拒绝访问？（CentOS 7）

我也在CentOS 7上工作，并遇到了类似的问题：

# systemctl unmask tmp.mount
Failed to execute operation: Access denied

拒绝与SELinux有关。如果您在enforcing模式下运行SELinux，可能就是这种情况：

# getenforce
Enforcing

就我而言，该systemctl错误USER_AVC在SELinux日志文件中产生了拒绝/var/log/audit/audit.log：

type=USER_AVC msg=audit(1475497680.859:2656): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='avc:  denied  { enable } for auid=0 uid=0 gid=0 path="/dev/null" cmdline="systemctl unmask tmp.mount" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=system_u:object_r:null_device_t:s0 tclass=service  exe="/usr/lib/systemd/systemd" sauid=0 hostname=? addr=? terminal=?'

解

本文指出，这是由于systemd中的错误所致，并提供了一种解决方法：

systemctl daemon-reexec

次要解决方案

如果以上方法均无效，则可以将SELinux模式设置为permissive：

setenforce 0

它应该可以正常工作。但是，此第二种解决方案具有安全隐患。

就我而言，我刚刚升级systemd，所有systemctl命令都失败了：

# systemctl daemon-reexec
Failed to reload daemon: Access denied
# systemctl status
Failed to read server status: Access denied

但是，根据手册init页，您可以通过发送SIGTERM给以PID 1运行的守护程序来执行相同的操作：

kill -TERM 1

这将重新加载守护程序，然后所有systemctl命令再次开始工作。

两种解决方案都不适合我。原来，我的.service文件中的其中一行中缺少一个=号。我通过查看/ var / log / messages发现了这一点，并在那里看到了一个更具描述性的错误。因此，“拒绝访问”具有误导性。这并不是一个真正的安全问题。