Quand je cours
sudo systemctl disable avahi-daemon.socket
Je reçois
Failed to execute operation: Access denied
Mais il est exécuté en tant que root, comment l'accès peut-il être refusé? (CentOS 7)
centos
administrator
systemctl
vaporiser
la source
la source
journalctl -xe
pour comprendre pourquoi cela se produit.Réponses:
Je travaille également sur CentOS 7 et j'ai eu un problème similaire:
Le déni a à voir avec SELinux. Cela peut être le cas si vous exécutez SELinux en
enforcing
mode:Dans mon cas, l'
systemctl
erreur a provoqué unUSER_AVC
refus dans le fichier journal SELinux/var/log/audit/audit.log
:Solution
Cet article indique qu'il est dû à un bogue dans systemd et fournit une solution de contournement:
Solution secondaire
Si ce qui précède n'a pas fonctionné, vous pouvez définir le mode SELinux sur
permissive
:et cela devrait bien fonctionner. Cependant, cette 2ème solution a des implications de sécurité.
la source
Removed symlink
etsystemctl disable avahi-daemon.socket
échoue ensuite comme avant, produisant la même ligneaudit.log
setenforce 0
systemctl disable avahi-daemon.socket
réussit aprèssetenforce 0
sanssystemctl daemon-reexec
(et je me rends compte maintenant queunmask
c'est votre commande, pas la mienne :-)) Est-ce correct de faire ça etsetenforce 1
après?setenforce 0
dans ma réponse.setenforce 0
. Il s'agit d'une mauvaise pratique dans un environnement de production. Veuillez utiliser à lasystemctl daemon-reexec
place.Dans mon cas, je venais de mettre à jour
systemd
et toutesystemctl
commande échouait:Cependant, selon la
init
page de manuel, vous pouvez faire la même chose en envoyantSIGTERM
au démon fonctionnant en tant que PID 1, ce qui a fonctionné:Cela a rechargé le démon, après quoi toutes les
systemctl
commandes ont recommencé à fonctionner.la source
Aucune des deux solutions n'a fonctionné pour moi. Il s'est avéré qu'il y avait un signe = manquant sur l'une des lignes de mon fichier .service. J'ai découvert cela en regardant / var / log / messages et y ai vu une erreur qui était plus descriptive. L'accès refusé était donc trompeur. Ce n'était pas vraiment un problème de sécurité.
la source