为什么SELINUX的setsebool命令花费这么长时间又很慢?

9

我注意到命令setebool比其他linux命令花费更长的时间。如:

setsebool -P ftp_home_dir ON

出于好奇,我想知道为什么“ setsebool”命令需要这么长时间才能完成任务?

selinux 
仙林
source
1
time setsebool -P ftp_home_dir ON。您考虑多长时间?
jordanm
1
尝试了上述命令,“实际”时间约为30秒。通常,正常的linux命令time setenforce 0会提供大约0.011秒的“真实”时间。我觉得30秒有点长,想知道后端发生了什么?
仙林
strace -f setsebool -P ftp_home_dir ON看看它在哪里度过了美好的时光。
2013年
我想我需要更多的编程知识来了解strace的输出。我猜这是因为selinux在linux系统上涉及太多的“深层”级别更改,因此这是为什么花那么多时间来完成一个命令的原因。
仙林
进行更改时,SELinux是否需要重新编译其规则?我以为我记得在某处读过那本书。
functionvoid

Answers:

5

之所以这么慢,是因为它在您运行命令时正在对策略进行完全编译。(请参阅以下BZ:https ://bugzilla.redhat.com/show_bug.cgi ? id =811656,Dan Walsh是RHEL和Fedora上SELinux策略的维护者之一)。它已在更高版本的Fedora中修复,这意味着它最终可能会在EL7中以及在更高版本的EL6中得到修复。

jsbillings
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.