Red Hat Summit16.3. Solución de problemas relacionados con SELinux
Si planeas habilitar SELinux en sistemas en los que ha sido previamente deshabilitado o si ejecutas un servicio en una configuración no estándar, puede que necesites solucionar situaciones potencialmente bloqueadas por SELinux. Tenga en cuenta que, en la mayoría de los casos, las denegaciones de SELinux son signos de una configuración incorrecta.
16.3.1. Identificación de las denegaciones de SELinux
Siga sólo los pasos necesarios de este procedimiento; en la mayoría de los casos, sólo tendrá que realizar el paso 1.
Procedimiento
Cuando su escenario está bloqueado por SELinux, el archivo
/var/log/audit/audit.loges el primer lugar en el que hay que buscar más información sobre una denegación. Para consultar los registros de auditoría, utilice la herramientaausearch. Dado que las decisiones de SELinux, como permitir o denegar el acceso, se almacenan en caché y esta caché se conoce como caché de vectores de acceso (AVC), utilice los valoresAVCyUSER_AVCpara el parámetro de tipo de mensaje, por ejemplo:ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent
# ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recentCopy to Clipboard Copied! Toggle word wrap Toggle overflow Si no hay coincidencias, compruebe si el demonio de Auditoría se está ejecutando. Si no lo hace, repita el escenario denegado después de iniciar
auditdy compruebe de nuevo el registro de Auditoría.En caso de que
auditdse esté ejecutando, pero no haya coincidencias en la salida deausearch, compruebe los mensajes proporcionados por el Diariosystemd:journalctl -t setroubleshoot
# journalctl -t setroubleshootCopy to Clipboard Copied! Toggle word wrap Toggle overflow Si SELinux está activo y el demonio de auditoría no se está ejecutando en su sistema, busque ciertos mensajes de SELinux en la salida del comando
dmesg:dmesg | grep -i -e type=1300 -e type=1400
# dmesg | grep -i -e type=1300 -e type=1400Copy to Clipboard Copied! Toggle word wrap Toggle overflow Incluso después de las tres comprobaciones anteriores, es posible que no haya encontrado nada. En este caso, los rechazos del CVA pueden ser silenciados debido a las reglas de
dontaudit.Para desactivar temporalmente las reglas de
dontaudit, permitiendo que se registren todos los rechazos:semodule -DB
# semodule -DBCopy to Clipboard Copied! Toggle word wrap Toggle overflow Después de volver a ejecutar su escenario denegado y encontrar los mensajes de denegación utilizando los pasos anteriores, el siguiente comando habilita de nuevo las reglas de
dontauditen la política:semodule -B
# semodule -BCopy to Clipboard Copied! Toggle word wrap Toggle overflow Si aplica los cuatro pasos anteriores y el problema sigue sin identificarse, considere si SELinux realmente bloquea su escenario:
Cambia al modo permisivo:
setenforce 0 getenforce
# setenforce 0 $ getenforce PermissiveCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Repite tu escenario.
Si el problema sigue ocurriendo, algo diferente a SELinux está bloqueando su escenario.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}