19.3. SELinux와 관련된 문제 해결

절차

1. SELinux에서 시나리오를 차단하면 /var/log/audit/audit.log 파일이 거부에 대한 자세한 정보를 확인하는 첫 번째 위치입니다. 감사 로그를 쿼리하려면 ausearch 툴을 사용합니다. SELinux 결정(예: 액세스 허용 또는 허용하지 않음)은 캐시되고 이 캐시는 AVC(액세스 벡터 캐시)라고 하며 메시지 유형 매개 변수에 대해 AVC 및 USER_AVC 값을 사용합니다.

   # ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent

   Copy to Clipboard Toggle word wrap

   일치하는 항목이 없으면 감사 데몬이 실행 중인지 확인합니다. 그렇지 않으면 auditd 를 시작한 후 거부된 시나리오를 반복하고 감사 로그를 다시 확인합니다.

2. auditd 가 실행 중이지만 ausearch 출력에 일치하는 항목이 없는 경우 systemd 저널에서 제공하는 메시지를 확인합니다.

   # journalctl -t setroubleshoot

   Copy to Clipboard Toggle word wrap

3. SELinux가 활성 상태이고 감사 데몬이 시스템에서 실행되지 않는 경우 dmesg 명령의 출력에서 특정 SELinux 메시지를 검색합니다.

   # dmesg | grep -i -e type=1300 -e type=1400

   Copy to Clipboard Toggle word wrap

4. 이전 세 번의 확인 이후에도 아무것도 찾을 수 없습니다. 이 경우 dontaudit 규칙으로 인해 AVC 거부를 음소거할 수 있습니다.

   dontaudit 규칙을 일시적으로 비활성화하려면 모든 거부를 허용하십시오.

   # semodule -DB

   Copy to Clipboard Toggle word wrap

   거부된 시나리오를 다시 실행하고 이전 단계를 사용하여 거부 메시지를 찾은 후 다음 명령을 실행하면 정책에서 dontaudit 규칙을 다시 활성화합니다.

   # semodule -B

   Copy to Clipboard Toggle word wrap

5. 4개의 이전 단계를 모두 적용하고 문제를 여전히 식별하지 않은 경우 SELinux가 실제로 시나리오를 차단하는지 고려하십시오.

   • 허용 모드로 전환:

     # setenforce 0
     $ getenforce
     Permissive

     Copy to Clipboard Toggle word wrap
   • 시나리오를 반복합니다.

   문제가 계속 발생하는 경우 SELinux와는 다른 것이 시나리오를 차단하는 것입니다.

절차

1. sealert 명령을 사용하여 기록된 거부에 대한 세부 정보를 나열합니다. 예를 들면 다음과 같습니다.

   $ sealert -l "*"
   SELinux is preventing /usr/bin/passwd from write access on the file
   /root/test.
   
   *****  Plugin leaks (86.2 confidence) suggests *****************************
   
   If you want to ignore passwd trying to write access the test file,
   because you believe it should not need this access.
   Then you should report this as a bug.
   You can generate a local policy module to dontaudit this access.
   Do
   # ausearch -x /usr/bin/passwd --raw | audit2allow -D -M my-passwd
   # semodule -X 300 -i my-passwd.pp
   
   *****  Plugin catchall (14.7 confidence) suggests **************************
   
   ...
   
   Raw Audit Messages
   type=AVC msg=audit(1553609555.619:127): avc:  denied  { write } for
   pid=4097 comm="passwd" path="/root/test" dev="dm-0" ino=17142697
   scontext=unconfined_u:unconfined_r:passwd_t:s0-s0:c0.c1023
   tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file permissive=0
   
   ...
   
   Hash: passwd,passwd_t,admin_home_t,file,write

   Copy to Clipboard Toggle word wrap

2. 이전 단계에서 얻은 출력에 명확한 제안이 포함되지 않은 경우:

   • 전체 경로 감사를 활성화하여 액세스한 오브젝트의 전체 경로를 확인하고 추가 Linux 감사 이벤트 필드를 표시합니다.

     # auditctl -w /etc/shadow -p w -k shadow-write

     Copy to Clipboard Toggle word wrap

   • setroubleshoot 캐시를 지웁니다.

     # rm -f /var/lib/setroubleshoot/setroubleshoot.xml

     Copy to Clipboard Toggle word wrap
   • 문제를 재현합니다.

   • 1단계 반복.

     프로세스를 완료한 후 전체 경로 감사를 비활성화합니다.

     # auditctl -W /etc/shadow -p w -k shadow-write

     Copy to Clipboard Toggle word wrap
3. sealert 가 catchall 제안만 반환하거나 audit2allow 도구를 사용하여 새 규칙을 추가하는 것을 제안하는 경우, 감사 로그의 SELinux 거부에 나열된 예제와 문제와 일치하십시오.

절차

1. 텍스트 편집기로 새 .cil 파일을 엽니다. 예를 들면 다음과 같습니다.

   # vim <local_module>.cil

   Copy to Clipboard Toggle word wrap

   로컬 모듈을 더 잘 정리하려면 로컬 SELinux 정책 모듈의 이름에 local_ 접두사를 사용합니다.

2. 알려진 문제 또는 Red Hat 솔루션에서 사용자 지정 규칙을 삽입합니다.

   중요

   자체 규칙을 작성하지 마십시오. 특정 알려진 문제 또는 Red Hat 솔루션에서 제공되는 규칙만 사용하십시오.

   • 예를 들어 SELinux를 구현하면 RHEL 솔루션에서 cups.sock에 대한 cups-lpd 읽기 액세스를 거부하려면 다음 규칙을 삽입합니다.

     (allow cupsd_lpd_t cupsd_var_run_t (sock_file (read)))

     Copy to Clipboard Toggle word wrap

     RHBA-2021:4420 의 RHEL에 대해 예제 솔루션이 영구적으로 수정되었습니다. 따라서 이 솔루션과 관련된 이 절차의 일부는 업데이트된 RHEL 8 및 9 시스템에는 영향을 미치지 않으며 구문 예제로만 포함됩니다.

     두 가지 SELinux 규칙 구문, CIL(Common Intermediate Language) 및 m4 중 하나를 사용할 수 있습니다. 예를 들어 CIL의 (allow cupsd_lpd_t cupsd_var_run_t (sock_file (read))) 은 m4의 다음과 동일합니다.

     module local_cupslpd-read-cupssock 1.0;
     
     require {
         type cupsd_var_run_t;
         type cupsd_lpd_t;
         class sock_file read;
     }
     
     #============= cupsd_lpd_t ==============
     allow cupsd_lpd_t cupsd_var_run_t:sock_file read;

     Copy to Clipboard Toggle word wrap
3. 파일을 저장하고 닫습니다.

4. 정책 모듈을 설치합니다.

   # semodule -i <local_module>.cil

   Copy to Clipboard Toggle word wrap

   semodule -i 를 사용하여 생성한 로컬 정책 모듈을 제거하려면 .cil 접미사 없이 모듈 이름을 참조하십시오. 로컬 정책 모듈을 제거하려면 semodule -r < local_module> 을 사용합니다.

5. 규칙과 관련된 서비스를 다시 시작합니다.

   # systemctl restart <service-name>

   Copy to Clipboard Toggle word wrap

검증

1. SELinux 정책에 설치된 로컬 모듈을 나열합니다.

   # semodule -lfull | grep "local_"
   400 local_module  cil

   Copy to Clipboard Toggle word wrap

   로컬 모듈에는 우선순위 400 이 있으므로 semodule -lfull | grep -v ^100 명령을 사용하여 해당 값을 사용하여 목록에서도 필터링할 수 있습니다.

2. SELinux 정책에서 관련 허용 규칙을 검색합니다.

   # sesearch -A --source=<SOURCENAME> --target=<TARGETNAME> --class=<CLASSNAME> --perm=<P1>,<P2>

   Copy to Clipboard Toggle word wrap

   여기서 < SOURCENAME >은 소스 SELinux 유형이며 < TARGETNAME >은 대상 SELinux 유형이며 < CLASSNAME >은 보안 클래스 또는 오브젝트 클래스 이름이며 < P1 > 및 < P2 >는 규칙의 특정 권한입니다.

   예를 들어 SELinux가 RHEL Red Hat knowledgbase 솔루션의 cups.sock에 대한 cups-lpd 읽기 액세스를 거부하려면 다음을 수행합니다.

   # sesearch -A --source=cupsd_lpd_t --target=cupsd_var_run_t --class=sock_file --perm=read
   allow cupsd_lpd_t cupsd_var_run_t:sock_file { append getattr open read write };

   Copy to Clipboard Toggle word wrap

   이제 마지막 줄에 읽기 작업이 포함되어야 합니다.

3. 관련 서비스가 SELinux에 의해 제한된 상태로 실행되는지 확인합니다.

   1. 관련 서비스와 관련된 프로세스를 확인합니다.

      $ systemctl status <service-name>

      Copy to Clipboard Toggle word wrap

   2. 이전 명령의 출력에 나열된 프로세스의 SELinux 컨텍스트를 확인합니다.

      $ ps -efZ | grep <process-name>

      Copy to Clipboard Toggle word wrap

4. 서비스에서 SELinux 거부를 유발하지 않는지 확인합니다.

   # ausearch -m AVC -i -ts recent
   <no matches>

   Copy to Clipboard Toggle word wrap

   i 옵션은 숫자 값을 사람이 읽을 수 있는 텍스트로 해석합니다.