MENU

诊断和处理违反SELinux策略的事件

September 4, 2018 • Linux阅读设置

如果出现一个问题且 SELInux 处于强制模式下运行,而且确信目标服务或应用程序不会存在问题,则不要禁用 SELinux!
RedHat 已经简化了 SELinux 的管理和故障处理。根据 Red Hat,引起 SELinux 相关问题的两个主要原因是上下文和布尔型设置

SELinux 审计

  • SELinux 遇到的问题都会保存在相关的日志文件,即 /var/log/audit 目录中的 audit.log 文件中。这个文件很容易迷惑人,第一次看到它更是如此。限制有许多工具可以用来解释这个日志文件。
  • 首先,审计搜索命令 (ausearch) 命令可以帮助我们过滤某些特定类型的问题,例如列出所有与使用 sudo 命令有关的 SELInux 事件:ausearch -m avc -c sudo
  • 这些事件也称为访问向量缓存 (Access Vector Cache,AVC0)(-m avc) 消息,-c 选项允许我们定义通常在日志中使用的名字,例如 httpd 或 su。这个输出列表可能显得过于冗长。但是它包含了一些标识信息,如被审计的用户 ID(显示为 auid),用它可以确定发出攻击的用户。也许此用户正需要这样的访问,也许此用户账户已受到破坏,不管哪种情况,这警告我们要更多地关注这个账户。
  • sealert -a /var/log/audit/audit.log 命令可能会提供更容易理解地列表

|无广告声明:本站已于2021年7月6日全面取消广告,如果你看到广告,则为流氓浏览器或流氓软件导致,请检查你的电脑。

Last Modified: June 10, 2019
Archives QR Code
QR Code for this page
Tipping QR Code