5.2. SELinux 거부 메시지 분석
SELinux가 시나리오를 차단하고 있음을 확인한 후 수정을 선택하기 전에 근본 원인을 분석해야 할 수 있습니다. ???
사전 요구 사항
-
policycoreutils-python-utils
및se rsh-server
패키지가 시스템에 설치되어 있습니다.
절차
sealert
명령을 사용하여 기록된 거부에 대한 세부 정보를 나열합니다. 예를 들면 다음과 같습니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이전 단계에서 얻은 출력에 명확한 제안 사항이 포함되어 있지 않은 경우:
전체 경로 감사를 활성화하여 액세스 오브젝트에 대한 전체 경로를 확인하고 추가 Linux 감사 이벤트 필드를 표시합니다.
auditctl -w /etc/shadow -p w -k shadow-write
# auditctl -w /etc/shadow -p w -k shadow-write
Copy to Clipboard Copied! Toggle word wrap Toggle overflow setroubleshoot
캐시를 지웁니다.rm -f /var/lib/setroubleshoot/setroubleshoot.xml
# rm -f /var/lib/setroubleshoot/setroubleshoot.xml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 문제를 재현합니다.
1단계를 반복합니다.
프로세스를 완료한 후 전체 경로 감사를 비활성화합니다.
auditctl -W /etc/shadow -p w -k shadow-write
# auditctl -W /etc/shadow -p w -k shadow-write
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
sealert
가catchall
제안만 반환하거나audit2allow
툴을 사용하여 새 규칙 추가를 제안하는 경우 감사 로그의 SELinux 거부에 나열된 예와 관련된 문제를 일치시킵니다.