ネットワーク名前空間 (ip netns exec) で実行する必要があるスクリプトがあり、systemd サービス ファイルを作成しました。
ただし、起動に失敗し、journalctl -xe は次のように報告します。
ip[7918]: "/usr/share/stats/run_collect.sh" の実行に失敗しました: 権限が拒否されました
サービスファイルは次のようにコマンドを実行します(インスタンス化されたサービスです)
ExecStart=/sbin/ip netns exec ns%i /usr/share/stats/run_collect.sh %i
Selinuxは強制モードになっており、動作させるには を実行する必要がありますsemanage permissive -a ifconfig_t。
これがないとスクリプトは実行されません。
さまざまな試行で、スクリプトが開始したものの、スクリプトによって開始された tcpdump プロセスが /var/log/stats/ のログ ファイルに書き込むための正しい selinux コンテキストを見逃したために失敗するという、再現できない状況に陥りました。(発行して を
semanage fcontext -a -t ifconfig_exec_t /usr/share/stats/run_collect.sh適用したときにこの状況に陥ったと思いますrestorecon -Frvv /usr/share/stats/。ただし、これを繰り返しても機能しません...)
ifconfig_t ドメインを許可に設定せずにこれを機能させる最善の方法は何ですか?