Dell Unity: Filer eller mappar i NFS-export kan inte nås efter Unity-uppgradering till 5.5

• Användare kanske märker att vissa filer inte kan nås eller att mappar inte kan listas efter att Unity har uppgraderats till 5.5, 
• Problemet uppstår endast under följande förhållanden: 
  • Klienten monterar NFS-exporten med NFSv4.2, åtkomsten är bra om klienten monterar NFS-exporten med NFSv3 eller NFSv4.0 eller 4.1.  
  • SELinux är aktiverat på Linux-klienten. 

Här är ett exempel:

• Användar-test_user kan inte visa innehållet i NFS-monteringspunkten /mnt vid montering med NFSv4.2. 

[test_user@RHEL4 ~]$ mount -v | grep -i mnt
10.xx.xx.48:/test on /mnt type nfs4 (rw,relatime,seclabel,vers=4.2,rsize=131072,wsize=131072,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=10.227.xxx.129,local_lock=none,addr=10.60.15.48)

[test_user@RHEL4 ~]$ ls -al /mnt
ls: cannot open directory '/mnt': Permission denied

• Användaren test_user kan visa samma mapp efter att klienten har återmonterat NFS-exporten med NFSv4.1.

[test_user@RHEL4 ~]$ mount -v | grep -i mnt
10.xx.xx.48:/test on /mnt type nfs4 (rw,relatime,vers=4.1,rsize=131072,wsize=131072,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=10.227.xxx.129,local_lock=none,addr=10.60.15.48)


[test_user@RHEL4 ~]$ ls -al /mnt
total 16
drwxrwxrwx.  6 root root 8192 Jun 18 03:21 .
dr-xr-xr-x. 20 root root  271 Jun  8 19:07 ..
dr-xr-xr-x.  2 root bin   152 Apr 14 03:56 .etc
drwxr-xr-x.  2 root root  152 Jun 18 03:20 folder
drwxr-xr-x.  2 root root 8192 Apr 14 03:56 lost+found

• Från och med UnityOS 5.5 har Unity lagt till stöd för NFSv4.2. NFSv4.2-protokollstöd ger ytterligare säkerhet och prestanda, och NFS-attributstöd för reservfiler och NFS-etikettering.
• Funktionen Säkerhetsetiketter i NFSV4.2 gör att säkerhetsetiketter (t.ex. SELinux-kontexter) kan lagras och tillämpas över NFS-resurser. Den här funktionen är aktiverad som standard på Unity NAS-servern. 
• När SELinux är aktiverat på en Linux-klient tilldelar den en säkerhetsetikett till varje objekt i systemet, inklusive filer, mappar, processer, portar och enheter. 
• Standardsäkerhetskontexten som SELinux tilldelar filer i NFS-export som monterats med NFS v3, V4.0 eller v4.1 är system_u:object_r:nfs_t:s0.

[root@rhel8 test]# ls -alZ testv4.1
-rw-r--r--. 1 root root system_u:object_r:nfs_t:s0 0 Jun  1 21:47 testv4.1

• När klienten monterar NFS-exporten med NFS v4.2 ändras standardsäkerhetskontexten för NFS-filer till unconfined_u:object_r:default_t:s0.

[root@rhel8 test]# ls -alZ testv4.2
-rw-r--r--. 1 root root unconfined_u:object_r:default_t:s0 0 Jun  1  2025 testv4.2

• Ändringen av säkerhetskontexten, särskilt säkerhetstypen från nfs_t till default_t, kan orsaka vissa åtkomstproblem eftersom SELinux bestämmer åtkomstbehörigheten baserat på policyreglerna som beräknar säkerhetstypen för användaren eller processen och filerna eller mapparna.

Det finns flera lösningar. Användaren bör välja en lösning baserat på deras prioriteringar: säkerhet, enkelhet eller funktionskrav. 

• Återmontera NFS-exporten med NFSv4.1, NFSv4.0 eller NFSv3 från klienten

mount -o vers=4.1 <nas server IP>:/<export> /<localmountpoint>

• Montera NFS-exporten med NFSv4.2 men ange säkerhetslänken

mount -o context=system_u:object_r:nfs_t:s0 <nas server IP>:/<export> /<localmountpoint>

• Nedgradera den maximala NFSv4-versionen av supporten på Unity från v4.2 till v4.1. 

Dell Unity: Efter uppgradering till Unity OE version 5.5 kan NFSv4-klienter inte komma åt data

• Inaktivera säkerhetsetiketten på Unity

Dell Unity: Så här inaktiverar du säkerhetsetiketten över NFS på Unity OE 5.5 (kan korrigeras av användaren)

• Ändra säkerhetstypen för filerna i NFS-exporten till lämpliga baserat på kravet. 

chcon <user>:<role>:<type>:<level> <file/folders>

For example, change the file type to nfs_t. 

[root@RHEL4 /]# ls -alZ /mnt/nfsv4.2
-rw-r--r--. 1 root root system_u:object_r:default_t:s0 0 Jun 17 00:53 /mnt/nfsv4.2
[root@RHEL4 /]# chcon -t nfs_t /mnt/nfsv4.2
[root@RHEL4 /]# ls -alZ /mnt/nfsv4.2
-rw-r--r--. 1 root root system_u:object_r:nfs_t:s0 0 Jun 17 00:53 /mnt/nfsv4.2

Följande procedur kan följas för att felsöka SELinux-åtkomstproblemet. 

1. Fastställ användarens säkerhetskontext.

[test_user@RHEL4 ~]$ id -Z
user_u:user_r:user_t:s0

2. Bekräfta att NFS-exporten är monterad med NFSv4.2 och seclabel är aktiverat. 

[test_user@RHEL4 ~]$ mount -v | grep mnt
10.xx.xx.48:/test on /mnt type nfs4 (rw,relatime,seclabel,vers=4.2,rsize=131072,wsize=131072,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=10.227.xxx.129,local_lock=none,addr=10.xx.xx.48)

3. Kontrollera filsäkerhetskontexten och återskapa problemet

[test_user@RHEL4 ~]$ ls -aldZ /mnt
drwxrwxrwx. 6 root root system_u:object_r:default_t:s0 8192 Jun 17 07:44 /mnt

[test_user@RHEL4 ~]$ ls -al /mnt
ls: cannot open directory '/mnt': Permission denied

4. Gå till auditlog för att bekräfta varför kommandot misslyckas.

[root@RHEL4 ~]# ausearch -m avc -ts recent | tail
----
time->Tue Jun 17 18:30:59 2025
type=PROCTITLE msg=audit(1750xxxx59.577:8407): proctitle=6C73002D2D636F6C6F723Dxxxxx46F002D616C002F6D6E74
type=SYSCALL msg=audit(1750203059.577:8407): arch=c000003e syscall=257 success=no exit=-13 a0=ffffff9c a1=5563f160ca70 a2=90800 a3=0 items=0 ppid=104637 pid=104661 auid=10086 uid=10086 gid=10086 euid=10086 suid=10086 fsuid=10086 egid=10086 sgid=10086 fsgid=10086 tty=pts1 ses=246 comm="ls" exe="/usr/bin/ls" subj=user_u:user_r:user_t:s0 key=(null)
type=AVC msg=audit(1750xxxx59.577:8407): avc:  denied  { read } for  pid=104661 comm="ls" name="/" dev="0:47" ino=2 scontext=user_u:user_r:user_t:s0 tcontext=system_u:object_r:default_t:s0 tclass=dir permissive=0

5. När användaren kör ls på /mnt, ls-processen ärver användarens säkerhetstyp, SELinux-systemet avgör om säkerhetstypen user_t har läsbehörighet för filtypen default_t. I det här fallet ls Kommandot misslyckades eftersom källsäkerhetstypen user_t inte har läsbehörighet för filens säkerhetstyp default_t. 

Detta kan bekräftas genom att kontrollera säkerhetspolicyreglerna.

root@RHEL4 ~]# sesearch -A -s user_t -t default_t -p read
[root@RHEL4 ~]#

6. Följande kommando visar en lista över alla behörighetstyper user_t har på typ default_t.

[root@RHEL4 ~]# sesearch -A -s user_t -t default_t
allow domain base_file_type:dir { getattr open search };  
allow domain file_type:blk_file map; [ domain_can_mmap_files ]:True
allow domain file_type:chr_file map; [ domain_can_mmap_files ]:True
allow domain file_type:file map; [ domain_can_mmap_files ]:True
allow domain file_type:lnk_file map; [ domain_can_mmap_files ]:True
allow user_usertype file_type:filesystem getattr;

7. I ovanstående utdata tillhör user_t domän och default_t tillhör base_file_type. Så user_t har bara getattr, öppna, sökbehörighet för katalogen med default_t typ.

[root@RHEL4 mnt]# seinfo -t default_t -x

Types: 1
   type default_t, base_file_type, file_type, mountpoint, non_auth_file_type, non_security_file_type;


[root@RHEL4 mnt]# seinfo -t user_t -x | grep domain
   type user_t, application_domain_type, nsswitch_domain, corenet_unlabeled_type, domain, kernel_system_state_reader, netlabel_peer_type, privfd, process_user_target, scsi_generic_read, scsi_generic_write, syslog_client_type, pcmcia_typeattr_1, user_usertype, login_userdomain, userdomain, unpriv_userdomain, userdom_home_reader_type, userdom_filetrans_type, xdmhomewriter, x_userdomain, x_domain, dridomain, xdrawable_type, xcolormap_type;
/pre>

8. Användaren kan cd till /mnt eftersom öppen är tillåten. 

>allow domain base_file_type:dir { getattr open search };   <<<<

[test_user@RHEL4 ~]$ cd /mnt
[test_user@RHEL4 mnt]$ ls
ls: cannot open directory '.': Permission denied