4.2. 사용된 로그 파일은 무엇입니까?
Red Hat Enterprise Linux에서는 기본 패키지 선택에서 제거되지 않는 한 dbus 및 audit 패키지가 기본적으로 설치됩니다. Yum을 사용하여 setroubleshoot-server 를 설치해야 합니다( yum install setroubleshoot-server 명령 사용).
auditd
데몬이 실행 중인 경우 다음과 같은 SELinux 거부 메시지가 기본적으로 /var/log/audit/audit.log
에 기록됩니다.
type=AVC msg=audit(1223024155.684:49): avc: denied { getattr } for pid=2000 comm="httpd" path="/var/www/html/file1" dev=dm-0 ino=399185 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:samba_share_t:s0 tclass=file
또한
/var/log/message
파일에 다음과 유사한 메시지가 작성됩니다.
May 7 18:55:56 localhost setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to /var/www/html/file1 (samba_share_t). For complete SELinux messages. run sealert -l de7e30d6-5488-466d-a606-92c9f40d316d
Red Hat Enterprise Linux 7에서
setroubleshootd
는 더 이상 서비스로 지속적으로 실행되지 않습니다. 그러나 여전히 AVC 메시지를 분석하는 데 사용됩니다. 두 개의 새 프로그램이 필요할 때 setroubleshoot
를 시작하는 방법으로 작동합니다.
sedispatch
유틸리티는감사
하위 시스템의 일부로 실행됩니다. AVC 거부 메시지가 반환되면sedispatch
는dbus
를 사용하여 메시지를 보냅니다. 이미 실행 중인 경우 이 메시지는setroubleshootd
로 바로 이동합니다. 실행되고 있지 않으면sedispatch
가 자동으로 시작됩니다.seapplet
유틸리티는 시스템 도구 모음에서 실행되며setroubleshootd
의 dbus 메시지를 기다립니다. 알림 도구가 시작되어 사용자가 AVC 메시지를 검토할 수 있습니다.
절차 4.1. 자동으로 데몬 시작
- 부팅 시 자동으로 시작되도록
auditd
및rsyslog
데몬을 구성하려면 root 사용자로 다음 명령을 입력합니다.~]#
systemctl enable auditd.service~]#
systemctl enable rsyslog.service - 데몬이 활성화되었는지 확인하려면 쉘 프롬프트에 다음 명령을 입력합니다.
~]$
systemctl is-enabled auditd enabled~]$
systemctl is-enabled rsyslog enabled또는 systemctl status service-name.service 명령을 사용하고 명령 출력에서활성화된
키워드를 검색합니다. 예를 들면 다음과 같습니다.~]$
systemctl status auditd.service | grep enabled auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled)
systemd
데몬이 시스템 서비스를 관리하는 방법에 대한 자세한 내용은 시스템 관리자 가이드의 시스템 서비스 관리 장을 참조하십시오.