第 55 章 编译器和工具

当 SELinux 策略不允许执行堆栈时，PCRE 库无法使用 JIT 编译来加快正则表达式。因此，尝试正则表达式的 JIT 编译会被忽略，且不会提高其性能。

要临时解决这个问题，使用对受影响的 SELinux 域启用 execmem 操作的规则来设置 SELinux 策略，以启用 JIT 编译。其中一些规则已经提供，并可由特定 SELinux 布尔值启用。要列出这些布尔值，请查看以下命令的输出结果：

getsebool -a | grep execmem

getsebool -a | grep execmem

另一种解决方法是将应用程序代码更改为不请求 JIT 编译以及对 pcre_study（） 函数的调用。(BZ#1290432)

Gluster 由许多内部组件和不同的转换器组成，实施功能和特性。添加了 gfapi 访问方法，将 Gluster 与应用紧密集成。但是，并非所有组件和转换程序都设计为在运行的应用程序中卸载。因此，卸载 Gluster 库后不会退出的程序无法发布一些由 Gluster 内部执行的内存分配。

要减少内存泄漏数量，防止应用程序在可能时调用 glfs_init（） 和 glfs_fini（） 函数。要释放泄漏的内存，您必须重启长时间运行的应用程序。(BZ#1409773)

SCAP 安全指南(SSG)规则指的是 Defense Information Systems Agency Security Requirement Guide(DISA SRG)。连接到 URL 会失败并显示 404 - not found 错误。因此，用户没有直接引用 SRG。要临时解决这个问题，请使用新 URL ：http://iase.disa.mil/stig/os/general/Pages/index.aspx/ (BZ#1464899)

在修复 ensure_gpgcheck_repo_metadata 规则期间，某些配置集会更新 yum.conf 文件以启用 repo_gpgcheck 选项。红帽目前不提供签名的存储库元数据。因此，yum 工具无法从官方仓库安装任何软件包。要临时解决这个问题，请使用定制文件从配置集中删除 ensure_gpgcheck_repo_metadata。如果补救已经破坏系统，请更新 yum.conf 并将 repo_gpgcheck 设置为 0。(BZ#1465677)

SCAP 安全指南(SSG)pam_faillock 模块利用率检查错误地接受 default=die 选项。因此，当使用 pam_unix 模块进行身份验证时，pam 堆栈评估会立即停止，无需增加 pam_faillock 计数器。要临时解决这个问题，请不要在 authfail 选项前使用 default=die。这样可确保 pam_faillock 计数器正确递增。(BZ#1448952)