Ketika saya berlari
sudo systemctl disable avahi-daemon.socket
saya mendapat
Failed to execute operation: Access denied
Tetapi dijalankan sebagai root, bagaimana akses dapat ditolak? (CentOS 7)
centos
administrator
systemctl
Spraff
sumber
sumber
journalctl -xe
untuk mencari tahu mengapa ini terjadi.Jawaban:
Saya juga bekerja pada CentOS 7, dan memiliki masalah serupa:
Penolakan itu ada hubungannya dengan SELinux. Ini bisa menjadi kasus Anda jika Anda menjalankan SELinux dalam
enforcing
mode:Dalam kasus saya,
systemctl
kesalahan telah menghasilkanUSER_AVC
penolakan dalam file log SELinux,/var/log/audit/audit.log
:Larutan
Artikel ini menyatakan bahwa ini disebabkan oleh bug di systemd, dan menyediakan penyelesaian sekitar:
Solusi sekunder
Jika hal di atas tidak berhasil, Anda dapat mengatur mode SELinux ke
permissive
:dan itu seharusnya bekerja dengan baik. Namun, solusi kedua ini memiliki implikasi keamanan.
sumber
Removed symlink
dan setelah itusystemctl disable avahi-daemon.socket
gagal seperti sebelumnya, menghasilkan baris yang sama diaudit.log
setenforce 0
systemctl disable avahi-daemon.socket
berhasil setelahsetenforce 0
tanpasystemctl daemon-reexec
(dan saya menyadari sekarangunmask
adalah perintah Anda, bukan milik saya :-)) Apakah saya tetap bisa melakukan ini dansetenforce 1
setelahnya?setenforce 0
jawaban saya saat itu.setenforce 0
. Ini adalah praktik buruk di lingkungan produksi. Silakan gunakansystemctl daemon-reexec
sebagai gantinya.Dalam kasus saya, saya baru saja memutakhirkan
systemd
dansystemctl
perintah apa pun gagal:Namun menurut halaman
init
manual, Anda dapat melakukan hal yang sama dengan mengirimSIGTERM
ke daemon yang berjalan sebagai PID 1, yang berfungsi:Ini memuat ulang daemon, setelah semua
systemctl
perintah mulai bekerja lagi.sumber
Tidak ada solusi yang bekerja untuk saya. Ternyata ada tanda = hilang pada salah satu baris dalam file .service saya. Saya menemukan ini dengan mencari / var / log / pesan dan melihat kesalahan di sana yang lebih deskriptif. Jadi Akses Ditolak itu menyesatkan. Itu bukan masalah keamanan.
sumber