Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
8.3.2. サイレント拒否の原因
状況によっては、SELinux がアクセスを拒否した際に、AVC 拒否がログ記録されない場合もあります。アプリケーションやシステムライブラリー機能は、タスクの実行に必要なアクセス以上のものをプローブすることがよくあります。無害なアプリケーションプローブを AVC 拒否で監査ログ記録につけることなく最小の権限を維持するために、ポリシーは
dontaudit
ルールを使うことで、パーミッションを許可することなく サイレントな AVC 拒否を行うことができます。このルールは、標準ポリシーに共通のものです。dontaudit
のマイナス面は、SELinux はアクセスを拒否するものの拒否メッセージがログ記録されないため、トラブルシューティングが難しくなるという点です。
一時的に
dontaudit
ルールを無効にしてすべての拒否をログ記録できるようにするには、以下のコマンドを Linux root ユーザーで実行します。
~]# semodule -DB
-D
オプションは dontaudit
ルールを無効にし、-B
オプションはポリシーを再構築します。semodule -DB
を実行した後、パーミッション問題があったアプリケーションを試します。そのアプリケーションに関連した SELinux 拒否がログ記録されているかどうかをチェックします。どの拒否を許可するかという決定は、注意して行なってください。なかには、無視して dontaudit
ルールで扱われるべきものもあります。わからない場合やアドバイスが必要な場合は、fedora-selinux-list のような SELinux リストに掲載されている他の SELinux ユーザーや開発者に連絡してください。
ポリシーを再構築して
dontaudit
ルールを有効にするには、Linux root ユーザーで以下のコマンドを実行します。
~]# semodule -B
これでポリシーが元の状態に復元されます。
dontaudit
ルールの完全なリストを表示させるには、sesearch --dontaudit
コマンドを実行します。検索結果を絞り込むには、-s domain
オプションと grep
コマンドを使います。以下に例を挙げます。
~]$ sesearch --dontaudit -s smbd_t | grep squid
dontaudit smbd_t squid_port_t : tcp_socket name_bind ;
dontaudit smbd_t squid_port_t : udp_socket name_bind ;
拒否の分析に関する情報は、「Raw 監査メッセージ」 と 「sealert メッセージ」 を参照してください。