検索

第11章 トラブルシューティング

download PDF
本章では、SELinux がアクセスを拒否した場合の動作、問題の上位 3 つの原因、正しいラベル付けに関する情報の入手先、SELinux の拒否分析、および audit2allow でカスタムポリシーモジュールを作成する方法について説明します。

11.1. アクセスが拒否された場合の動作

アクセスの許可、拒否などの SELinux の結果はキャッシュされます。このキャッシュは、アクセスベクトルキャッシュ (AVC) として知られています。SELinux がアクセスを拒否すると、拒否メッセージがログに記録されます。この拒否は AVC 拒否としても知られており、実行しているデーモンに応じて別の場所にログが記録されます。
デーモン: auditd on
ログの場所: /var/log/audit/audit.log
デーモン: auditd off、rsyslogd on
ログの場所: /var/log/messages
デーモン: setroubleshootd、rsyslogd、auditd on
ログの場所: /var/log/audit/audit.log./var/log/messages にも送信される、読み取りが容易な拒否メッセージ
X Window System を実行中で、setroubleshoot パッケージおよび setroubleshoot-server パッケージがインストールされており、setroubleshootd デーモンおよび audd デーモンを実行している場合は、SELinux がアクセスを拒否したときに警告が表示されます。
Show をクリックすると、SELinux がアクセスを拒否した理由の詳細な分析と、アクセスを許可するための可能な解決策が表示されます。X Window System を実行していない場合は、SELinux によってアクセスが拒否されたときはわかりにくくなります。たとえば、Web サイトをブラウズするユーザーには、次のようなエラーが表示されます。
Forbidden

You don't have permission to access file name on this server
このような状況で、DAC ルール (スタンダードの Linux パーミッション) でアクセスが許可されている場合は、/var/log/messages および /var/log/audit/audit.log で、それぞれ "SELinux is preventing" エラーおよび "denied" エラーを確認してください。これは、root ユーザーになり、以下のコマンドを実行して実行できます。
~]# grep "SELinux is preventing" /var/log/messages
~]# grep "denied" /var/log/audit/audit.log
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.