第5章 SELinux 関連の問題のトラブルシューティング

手順

1. アクセスを許可する、または許可しないといった SELinux の決定はキャッシュされ、このキャッシュは AVC として知られています。たとえば、メッセージタイプパラメーターには AVC および USER_AVC の値を使用します。

   # ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent

   一致するものがない場合は、Audit デーモンが実行しているかどうかを確認します。実行していない場合は、auditd を起動して Audit ログを再確認してから、拒否されたシナリオを繰り返します。

2. auditd が実行中で、ausearch の出力に一致がない場合は、systemd ジャーナルが出力するメッセージを確認してください。

   # journalctl -t setroubleshoot

3. SELinux が有効で、Audit デーモンがシステムで実行していない場合は、dmesg コマンドの出力で特定の SELinux メッセージを検索します。

   # dmesg | grep -i -e type=1300 -e type=1400

4. 以上の 3 つを確認しても、何も見つからない場合もあります。この場合、dontaudit ルールが原因で AVC 拒否を非表示にできます。

   一時的に dontaudit ルールを無効にし、すべての拒否をログに記録できるようにするには、以下のコマンドを実行します。

   # semodule -DB

   以前の手順で、拒否されたシナリオを再実行し、拒否メッセージを取得したら、次のコマンドはポリシーで dontaudit ルールを再度有効にします。

   # semodule -B

5. これまでの 4 つのステップをすべて試し、それでも問題が解決しない場合は、SELinux がシナリオをブロックするかどうかを検討してください。

   • Permissive モードに切り替えます。

     # setenforce 0
     $ getenforce
     Permissive

   • シナリオを繰り返します。

   上記を試しても問題が発生する場合は、SELinux 以外に原因があります。