SELinux : ログを確認する2021/03/02 |
SELinux によるアクセス可否の決定は一旦キャッシュされ、アクセスが拒否の場合はメッセージがログに記録されます。
SELinux のキャッシュは AVC (Access Vector Cache) と呼ばれ、アクセス拒否は AVC 拒否とも呼ばれます。
AVC 拒否のログは、Systemd Journald または Audit サービス経由で出力されます。
Rsyslog サービス稼働中の場合 (デフォルトは自動起動) は [/var/log/messages] にも記録されます。 よって、いずれかのサービスが起動している必要があります。 |
|
[1] | Audit サービスが無効 且つ Systemd Journald や Rsyslog サービスが有効の場合は、ログは Journald のログや [/var/log/messages] に記録されます。 |
[root@dlp ~]# journalctl -t setroubleshoot -- Logs begin at Thu 2021-02-25 11:45:47 JST, end at Thu 2021-02-25 14:01:01 JS> Feb 24 21:46:02 dlp.srv.world setroubleshoot[1505]: AnalyzeThread.run(): Cancel> Feb 24 21:46:02 dlp.srv.world setroubleshoot[1505]: failed to retrieve rpm info> Feb 24 21:46:04 dlp.srv.world setroubleshoot[1505]: SELinux is preventing /usr/> Feb 24 21:46:04 dlp.srv.world setroubleshoot[1505]: SELinux is preventing /usr/> ..... .....[root@dlp ~]# grep "avc: .denied" /var/log/messages Feb 24 23:55:25 dlp kernel: audit: type=1400 audit(1614228925.779:193): avc: denied { name_bind } for pid=4218 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0 Feb 24 23:55:25 dlp kernel: audit: type=1400 audit(1614228925.779:194): avc: denied { name_bind } for pid=4218 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0 |
[2] | Audit サービスが有効の場合は、ログは [/var/log/audit/audit.log] に出力されます。 |
[root@dlp ~]# grep "avc: .denied" /var/log/audit/audit.log type=AVC msg=audit(1614228758.984:188): avc: denied { name_bind } for pid=4156 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0 type=AVC msg=audit(1614229469.795:202): avc: denied { name_bind } for pid=4312 comm="httpd" src=85 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0 type=AVC msg=audit(1614229469.795:203): avc: denied { name_bind } for pid=4312 comm="httpd" src=85 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0 |
[3] | Auditd 経由のログは [ausearch] コマンドを使用すると、時刻等を見易い形式で出力できます。 |
[root@dlp ~]# ausearch -m AVC ---- time->Thu Feb 24 19:04:29 2021 type=PROCTITLE msg=audit(1614229469.795:202): proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44 type=SYSCALL msg=audit(1614229469.795:202): arch=c000003e syscall=49 success=no exit=-13 a0=4 a1=559bea673980 a2=1c a3=7fff6381dd2c items=0 ppid=1 pid=4312 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null) type=AVC msg=audit(1614229469.795:202): avc: denied { name_bind } for pid=4312 comm="httpd" src=85 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0 ---- time->Thu Feb 24 19:04:29 2021 type=PROCTITLE msg=audit(1614229469.795:203): proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44 type=SYSCALL msg=audit(1614229469.795:203): arch=c000003e syscall=49 success=no exit=-13 a0=3 a1=559bea6738c0 a2=10 a3=7fff6381dd1c items=0 ppid=1 pid=4312 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null) type=AVC msg=audit(1614229469.795:203): avc: denied { name_bind } for pid=4312 comm="httpd" src=85 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0 |
[4] | Auditd 経由のログは [aureport] コマンドを利用すると、サマリ出力できます。 |
[root@dlp ~]# aureport --avc AVC Report =============================================================== # date time comm subj syscall class permission obj result event =============================================================== 1. 02/24/2021 14:26:00 ? system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 0 (null) (null) (null) unset 71 2. 02/24/2021 14:26:21 ? system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 0 (null) (null) (null) unset 74 3. 02/24/2021 14:33:46 login system_u:system_r:local_login_t:s0-s0:c0.c1023 137 filesystem getattr system_u:object_r:tmpfs_t:s0 denied 75 4. 02/24/2021 15:27:51 login system_u:system_r:local_login_t:s0-s0:c0.c1023 137 filesystem getattr system_u:object_r:tmpfs_t:s0 denied 78 5. 02/25/2021 11:44:59 login system_u:system_r:local_login_t:s0-s0:c0.c1023 137 filesystem getattr system_u:object_r:tmpfs_t:s0 denied 80 ..... ..... 15. 03/02/2021 15:00:53 login system_u:system_r:local_login_t:s0-s0:c0.c1023 137 filesystem getattr system_u:object_r:tmpfs_t:s0 denied 76 16. 03/02/2021 15:01:01 httpd system_u:system_r:httpd_t:s0 49 tcp_socket name_bind system_u:object_r:reserved_port_t:s0 denied 93 17. 03/02/2021 15:01:01 httpd system_u:system_r:httpd_t:s0 49 tcp_socket name_bind system_u:object_r:reserved_port_t:s0 denied 94 |
Sponsored Link |
|