При изучении, что заставляло сервер блокировать/разрушать, я нашел много сообщений selinux в/var/log/messages. Например:
setroubleshoot: SELinux is preventing /usr/sbin/httpd from getattr access on the file /tmp/sess_s5etafvc5ito5qi9icvpc17vi5. For complete SELinux messages. run sealert -l 9d054e4e-fc34-41a3-8fc5-4015026d2c6c
Не уверенный, если это релевантно, но группа их, предшествуются или сопровождаются многими строками
audispd: queue is full - dropping event
Так или иначе выполнение предложенной команды sealert дает
SELinux is preventing /usr/sbin/httpd from getattr access on the file /tmp/sess_aa0iif62mu7nd4a4hb4g72slv3.
***** Plugin catchall (100. confidence) suggests ***************************
If you believe that httpd should be allowed getattr access on the sess_aa0iif62mu7nd4a4hb4g72slv3 file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# grep httpd /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp
ls-l показывает, что принадлежит корню
-rw-------. 1 root root 0 Dec 2 05:03 sess_aa0iif62mu7nd4a4hb4g72slv3
У меня нет хорошего понимания/tmp каталога или сессий. Существуют файлы сессии, принадлежавшие httpd, итак, почему httpd попытался бы получить доступ к корневым файлам сессии? Почему там корневые файлы сессии во-первых? Это - что-то, чтобы касаться или фиксироваться? Был бы сотни или тысячи из них приводят к серверу, блокирующему,/ядро паникуют?
Похоже, у вас есть механизм приложения, такой как PHP, работающий от имени пользователя root. Подтвердите пользователя, владеющего процессом для каждого из ваших серверных демонов, с помощью ps или top.