なぜSELINUXのsetseboolコマンドがそんなに長くて遅いのですか?

9

setseboolコマンドは他のLinuxコマンドよりも時間がかかることに気づきました。といった:

setsebool -P ftp_home_dir ON

好奇心から、「setsebool」コマンドがタスクを完了するのにこんなに長い時間を必要とする理由を知りたいですか?

selinux 
仙林
ソース
1
time setsebool -P ftp_home_dir ON。どのくらいの期間を考えますか?
ヨルダン2013年
1
上記のコマンドを試したところ、「実際の」時間は約30秒です。通常、通常のLinuxコマンドでtime setenforce 0は、「実際の」時間は約0.011秒です。30秒は少し長く感じ、バックエンドで何が起こっているのだろうと思いますか?
Xianlin
strace -f setsebool -P ftp_home_dir ONそして、それがまさにその甘い時間を取っているところを見てください。
Flup
straceの出力を理解するには、さらにプログラミングの知識が必要だと思います。おそらく、selinuxにはLinuxシステムでの「深い」レベルの変更が多すぎるため、1つのコマンドを完了するのに非常に時間がかかるためです。
Xianlin
変更を加える場合、SELinuxはルールを再コンパイルする必要がありますか?どこかで読んだことを思い出した。
functionvoid

回答:

5

コマンドが実行されたときにポリシーが完全にコンパイルされているため、処理速度が遅いのはそのためです。(このBZを参照してください:https : //bugzilla.redhat.com/show_bug.cgi?id=811656、Dan WalshはRHELおよびFedoraのSELinuxポリシーのメンテナーの1人です)。それはそれ以降のバージョンのFedoraで修正されました。つまり、最終的にはEL7で修正され、EL6の今後のリリースで修正される可能性があります。

jsbillings
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.