8.3.7. sealert メッセージ
拒否には ID が割り当てられ、
/var/log/messages
で見ることができます。以下の例は、Apache HTTP Server (httpd_t
ドメインで稼働中) が /var/www/html/file1
ファイル (samba_share_t
タイプでラベル付け) にアクセスしようとした際に発生したAVC 拒否 (messages
にログ記録) です。
hostname setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to /var/www/html/file1 (samba_share_t). For complete SELinux messages. run sealert -l 84e0b04d-d0ad-4347-8317-22e74f6cd020
hostname setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to /var/www/html/file1 (samba_share_t). For complete SELinux messages. run sealert -l 84e0b04d-d0ad-4347-8317-22e74f6cd020
以下のように、
sealert -l 84e0b04d-d0ad-4347-8317-22e74f6cd020
コマンドを実行して完全なメッセージを表示します。このコマンドはローカルマシン上でのみ機能し、sealert
GUI と同じ情報を提示します。
- Summary
- 拒否されたアクションの簡潔なサマリーです。これは、
/var/log/messages
の拒否と同じです。この例では、httpd
プロセスがsamba_share_t
タイプのラベル付けがされたファイル (file1
) へのアクセスを拒否されました。 - Detailed Description
- より詳細な説明です。この例では、
file1
がsamba_share_t
タイプのラベル付けをされています。このタイプは、Samba でエクスポートするファイルおよびディレクトリーに使われます。説明では、Apache HTTP Server および Samba によるアクセスが望まれる場合、タイプを Apache HTTP Server および Samba がアクセス可能なものに変更することを提案しています。 - Allowing Access
- アクセスを可能にする方法を提案しています。ファイルの再ラベル付けやブール値をオンにする、ローカルポリシーモジュールの作成などの方法があります。このケースでは、Apache HTTP Server および Samba の両方がアクセス可能なタイプでファイルにラベル付けすることを提案しています。
- Fix Command
- アクセスを可能にし、拒否を解決するコマンドを提案しています。この例では、
file1
タイプを Apache HTTP Server と Samba の両方にアクセス可能なpublic_content_t
に変更するコマンドを提示しています。 - Additional Information
- ポリシーパッケージ名やバージョン (
selinux-policy-3.5.13-11.fc12
) などのバグレポートに便利な情報です。ただ、拒否が発生した原因の解決には役立たない可能性があります。 - Raw 監査メッセージ
/var/log/audit/audit.log
からの拒否に関連した raw 監査メッセージです。AVC 拒否の各アイテムに関しては、「Raw 監査メッセージ」 を参照してください。