Linux

诊断和处理违反SELinux策略的事件

如果出现一个问题且SELInux处于强制模式下运行,而且确信目标服务或应用程序不会存在问题,则不要禁用SELinux!

RedHat已经简化了SELinux的管理和故障处理。根据Red Hat,引起SELinux相关问题的两个主要原因是上下文和布尔型设置

 

SELinux审计

 

SELinux遇到的问题都会保存在相关的日志文件,即/var/log/audit目录中的audit.log文件中。这个文件很容易迷惑人,第一次看到它更是如此。限制有许多工具可以用来解释这个日志文件。

首先,审计搜索命令(ausearch)命令可以帮助我们过滤某些特定类型的问题,例如列出所有与使用sudo命令有关的SELInux事件:ausearch -m avc -c sudo

 

这些事件也称为访问向量缓存(Access Vector Cache,AVC0)(-m avc)消息,-c选项允许我们定义通常在日志中使用的名字,例如httpd或su。这个输出列表可能显得过于冗长。但是它包含了一些标识信息,如被审计的用户ID(显示为auid),用它可以确定发出攻击的用户。也许此用户正需要这样的访问,也许此用户账户已受到破坏,不管哪种情况,这警告我们要更多地关注这个账户。

 

sealert -a /var/log/audit/audit.log 命令可能会提供更容易理解地列表

 

关于审计工具将在后面地内容提到

原创文章,转载请注明: 转载自STM本文链接地址:诊断和处理违反SELinux策略的事件

发表评论

电子邮件地址不会被公开。 必填项已用*标注