5.2. Análise das mensagens de negação da SELinux
Após identificar que a SELinux está bloqueando seu cenário, talvez você precise analisar a causa raiz antes de escolher uma correção.
Pré-requisitos
-
Os pacotes
policycoreutils-python-utils
esetroubleshoot-server
estão instalados em seu sistema.
Procedimento
Liste mais detalhes sobre uma negação registrada usando o comando
sealert
, por exemplo:$ sealert -l "*" SELinux is preventing /usr/bin/passwd from write access on the file /root/test. ***** Plugin leaks (86.2 confidence) suggests ***************************** If you want to ignore passwd trying to write access the test file, because you believe it should not need this access. Then you should report this as a bug. You can generate a local policy module to dontaudit this access. Do # ausearch -x /usr/bin/passwd --raw | audit2allow -D -M my-passwd # semodule -X 300 -i my-passwd.pp ***** Plugin catchall (14.7 confidence) suggests ************************** ... Raw Audit Messages type=AVC msg=audit(1553609555.619:127): avc: denied { write } for pid=4097 comm="passwd" path="/root/test" dev="dm-0" ino=17142697 scontext=unconfined_u:unconfined_r:passwd_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file permissive=0 ... Hash: passwd,passwd_t,admin_home_t,file,write
Se a saída obtida na etapa anterior não contiver sugestões claras:
Habilitar a auditoria de percurso completo para ver os caminhos completos dos objetos acessados e tornar visíveis os campos adicionais de eventos de Auditoria Linux:
# auditctl -w /etc/shadow -p w -k shadow-write
Limpar o cache
setroubleshoot
:# rm -f /var/lib/setroubleshoot/setroubleshoot.xml
- Reproduzir o problema.
Repita o passo 1.
Após terminar o processo, desabilite a auditoria de percurso completo:
# auditctl -W /etc/shadow -p w -k shadow-write
-
Se
sealert
retornar apenascatchall
sugestões ou sugerir a adição de uma nova regra usando a ferramentaaudit2allow
, combine seu problema com os exemplos listados e explicados no SELinux negados no log de Auditoria.
Recursos adicionais
-
A página do homem
sealert(8)
.