我如何覆盖grsec？

Question

在最近重新启动之后，我有一对服务器现在无法监视它们的磁盘状态。Nagios报告：

HP RAID Array
UNKNOWN Error: No controllers detected. -/-/- (LD : []) 

在主机上手动运行检查时也会出现同样的错误。当我手动运行该检查时，内核日志显示如下：

Apr  8 17:00:00 www.example.org kernel: [12345.000000] grsec: 
From 10.11.12.13: denied use of iopl() by /opt/hp/hpacucli
/hpacucli.bin[hpacucli.bin:666] uid/euid:0/0 gid/egid:0/0, parent 
/bin/bash[bash:777] uid/euid:0/0 gid/egid:0/]

hpacucli是用于与硬件raid控制器交互并收集磁盘状态等内容的工具。使用iopl()并不奇怪。grsec文档建议这是由kernel.grsecurity.disable_priv_io管理的，但是sysctl说密钥是未知的，我似乎也不能设置它。

是否有一种方法可以将其修改为允许hpacucli访问iopl()，而无需将其重新构建为非grsec内核？

Answer 1

这些天你不应该使用hpacucli。

正确的现代工具是hpssacli。

此外，还有更有效的方法来检查硬件RAID控制器状态。您正在运行什么OS/分发/版本？你有其他管理人员安装吗？

Answer 2

具有讽刺意味的是，这在其他HPraid主机上工作的原因是它们运行的hpacucli版本较新，而后者显然不使用iopl()。在这些老主机上升级hpacucli解决了这个问题。

如何有选择地允许iopl()仍然是一个谜。也许再等一天。