การ Access mysql/mariadb Server ด้วย Zabbix agent ในขณะที่เปิด SELinux (CentOS)

เนื่องจากผมได้ศึกษาบทความของพี่ Krit
https://zabbix-in-thailand.blogspot.com/2018/11/zabbix-server-selinux-how-to-add-policy.html

ทำให้ใช้งาน Zabbix Server ในขณะที่เปิด SELinux ได้ แต่ยังติดปัญหาเรื่อง Agent ไม่สามารถ Access (Local Access)ไปยัง mysql/mariadb Server ได้  จึงต้องทำการ add policy selinux ดังนี้

1.Create file ชื่อ zabbix_mysql.te

module zabbix_mysql 1.0;
require {
        type unconfined_t;
        type mysqld_var_run_t;
        type mysqld_etc_t;
        type mysqld_t;
        type zabbix_var_lib_t;
        type zabbix_agent_t;
        class sock_file write;
        class unix_stream_socket connectto;
        class file { read relabelto open };
        class dir relabelto;
}

#============= unconfined_t ==============
allow unconfined_t zabbix_agent_t:dir relabelto;
allow unconfined_t zabbix_agent_t:file relabelto;

#============= zabbix_agent_t ==============
allow zabbix_agent_t mysqld_etc_t:file { read open };
#!!!! This avc can be allowed using the boolean 'daemons_enable_cluster_mode'
allow zabbix_agent_t mysqld_t:unix_stream_socket connectto;
allow zabbix_agent_t mysqld_var_run_t:sock_file write;
allow zabbix_agent_t zabbix_var_lib_t:file { read open };

2.Run Command ตามนี้

checkmodule -M -m -o zabbix_mysql.mod zabbix_mysql.te

semodule_package -o zabbix_mysql.pp -m zabbix_mysql.mod

semodule -i zabbix_mysql.pp

3.Restart zabbix_agent  ก็สามารถ Access mysql/mariadb ที่เครื่องตัวเองได้แล้วครับ ถ้า Add Template DB MySQL เอาไว้ก่อนแล้ว ก็จะเห็นว่าสมารถดูข้อมูลได้แล้วครับ

Reference: https://support.zabbix.com/browse/ZBX-10782

Read More

วิธีทำให้ zabbix server สามารถใช้งานได้โดยไม่ต้องปิด selinux (How to add policy to selinux?)

สำหรับเพื่อนๆชาว zabbix in thailand
คงจะมีหลายคนเจอปัญหาว่า ถ้าเปิด selinux จะทำให้ไม่สามารถใช้งาน zabbix server ได้

อาการ (Symptom):
1. ไม่สามารถ start zabbix server ได้
2. เข้าหน้า web แล้วจะพบตัวเตือนว่า zabbix server อาจจะไม่ได้รันอยู่

ลองทำตามขั้นตอนนะครับ

สร้างไฟล์ ชื่อ zabbix_server.te ก่อนครับ

module zabbix_server 1.0;

require {

type fs_t;

type zabbix_t;

type zabbix_port_t;

type gssproxy_t;

type zabbix_var_run_t;

type httpd_t;

class sock_file { create unlink };

class tcp_socket name_connect;

class unix_stream_socket connectto;

class process setrlimit;

class filesystem getattr;

}

#============= gssproxy_t ==============

#!!!! This avc is allowed in the current policy

allow gssproxy_t fs_t:filesystem getattr;

#============= httpd_t ==============

#!!!! This avc can be allowed using one of the these booleans:

#     httpd_can_network_connect, httpd_can_connect_zabbix

allow httpd_t zabbix_port_t:tcp_socket name_connect;

#============= zabbix_t ==============

#!!!! This avc is allowed in the current policy

allow zabbix_t self:process setrlimit;

#!!!! This avc is allowed in the current policy

allow zabbix_t self:unix_stream_socket connectto;

#!!!! This avc is allowed in the current policy

allow zabbix_t zabbix_var_run_t:sock_file { create unlink };

แล้วรัน command ตามนี้ต่อครับ

checkmodule -M -m -o zabbix_server.mod zabbix_server.te

semodule_package -o zabbix_server.pp -m zabbix_server.mod

semodule -i zabbix_server.pp


แล้วลอง start service ครับ
ทีนี้เราจะสามารถรัน zabbix server ได้แล้วครับ

หากท่านใด เข้าใจ linux ดีแล้วก็จะเข้าใจ config นี้ครับ ส่วนวิธีการเตรียม config ไว้ติดตามใน course advance จากทางทีมงานครับ

Natthakrit Pongkanaputinad

Read More