5.2. SELinux 거부 메시지 분석


SELinux가 시나리오를 차단하고 있음을 확인한 후 수정을 선택하기 전에 근본 원인을 분석해야 할 수 있습니다. ???

사전 요구 사항

  • policycoreutils-python-utilsse rsh-server 패키지가 시스템에 설치되어 있습니다.

절차

  1. sealert 명령을 사용하여 기록된 거부에 대한 세부 정보를 나열합니다. 예를 들면 다음과 같습니다.

    $ sealert -l "*"
    SELinux is preventing /usr/bin/passwd from write access on the file
    /root/test.
    
    *****  Plugin leaks (86.2 confidence) suggests *****************************
    
    If you want to ignore passwd trying to write access the test file,
    because you believe it should not need this access.
    Then you should report this as a bug.
    You can generate a local policy module to dontaudit this access.
    Do
    # ausearch -x /usr/bin/passwd --raw | audit2allow -D -M my-passwd
    # semodule -X 300 -i my-passwd.pp
    
    *****  Plugin catchall (14.7 confidence) suggests **************************
    
    ...
    
    Raw Audit Messages
    type=AVC msg=audit(1553609555.619:127): avc:  denied  { write } for
    pid=4097 comm="passwd" path="/root/test" dev="dm-0" ino=17142697
    scontext=unconfined_u:unconfined_r:passwd_t:s0-s0:c0.c1023
    tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file permissive=0
    
    ...
    
    Hash: passwd,passwd_t,admin_home_t,file,write
    Copy to Clipboard Toggle word wrap
  2. 이전 단계에서 얻은 출력에 명확한 제안 사항이 포함되어 있지 않은 경우:

    • 전체 경로 감사를 활성화하여 액세스 오브젝트에 대한 전체 경로를 확인하고 추가 Linux 감사 이벤트 필드를 표시합니다.

      # auditctl -w /etc/shadow -p w -k shadow-write
      Copy to Clipboard Toggle word wrap
    • setroubleshoot 캐시를 지웁니다.

      # rm -f /var/lib/setroubleshoot/setroubleshoot.xml
      Copy to Clipboard Toggle word wrap
    • 문제를 재현합니다.
    • 1단계를 반복합니다.

      프로세스를 완료한 후 전체 경로 감사를 비활성화합니다.

      # auditctl -W /etc/shadow -p w -k shadow-write
      Copy to Clipboard Toggle word wrap
  3. sealertcatchall 제안만 반환하거나 audit2allow 툴을 사용하여 새 규칙 추가를 제안하는 경우 감사 로그의 SELinux 거부에 나열된 예와 관련된 문제를 일치시킵니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat