Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

11.3.7. sealert メッセージ

拒否には、/var/log/messages に示される ID が割り当てられます。以下は、Apache HTTP Server( httpd_t ドメインで実行)が /var/www/html/file1 ファイル(samba_ share_t タイプでラベル付け)にアクセスしようとすると発生する AVC 拒否(ログに記録された メッセージ)の例です。
hostname setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to /var/www/html/file1 (samba_share_t). For complete SELinux messages. run sealert -l 32eee32b-21ca-4846-a22f-0ba050206786
推奨されているように、sealert -l 32eee32b-21ca-4846-a22f-0ba050206786 コマンドを実行して完全なメッセージを表示します。このコマンドはローカルマシンでのみ機能し、sealert GUI と同じ情報が表示されます。
~]$ sealert -l 32eee32b-21ca-4846-a22f-0ba050206786
SELinux is preventing httpd from getattr access on the file /var/www/html/file1.

*****  Plugin restorecon (92.2 confidence) suggests   ************************

If you want to fix the label. 
/var/www/html/file1 default label should be httpd_sys_content_t.
Then you can run restorecon.
Do
# /sbin/restorecon -v /var/www/html/file1

*****  Plugin public_content (7.83 confidence) suggests   ********************

If you want to treat file1 as public content
Then you need to change the label on file1 to public_content_t or public_content_rw_t.
Do
# semanage fcontext -a -t public_content_t '/var/www/html/file1'
# restorecon -v '/var/www/html/file1'

*****  Plugin catchall (1.41 confidence) suggests   **************************

If you believe that httpd should be allowed getattr access on the file1 file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'httpd' --raw | audit2allow -M my-httpd
# semodule -i my-httpd.pp


Additional Information:
Source Context                system_u:system_r:httpd_t:s0
Target Context                unconfined_u:object_r:samba_share_t:s0
Target Objects                /var/www/html/file1 [ file ]
Source                        httpd
Source Path                   httpd
Port                          <Unknown>
Host                          hostname.redhat.com
Source RPM Packages           
Target RPM Packages           
Policy RPM                    selinux-policy-3.13.1-166.el7.noarch
Selinux Enabled               True
Policy Type                   targeted
Enforcing Mode                Enforcing
Host Name                     hostname.redhat.com
Platform                      Linux hostname.redhat.com
                              3.10.0-693.el7.x86_64 #1 SMP Thu Jul 6 19:56:57
                              EDT 2017 x86_64 x86_64
Alert Count                   2
First Seen                    2017-07-20 02:52:11 EDT
Last Seen                     2017-07-20 02:52:11 EDT
Local ID                      32eee32b-21ca-4846-a22f-0ba050206786

Raw Audit Messages
type=AVC msg=audit(1500533531.140:295): avc:  denied  { getattr } for  pid=24934 comm="httpd" path="/var/www/html/file1" dev="vda1" ino=31457414 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:samba_share_t:s0 tclass=file


Hash: httpd,httpd_t,samba_share_t,file,getattr
サマリー
拒否されたアクションの概要。これは、/var/log/messages の拒否と同じです。この例では、httpd プロセスにより、samba _share_t タイプのラベルが付けられたファイル(file1) へのアクセスが拒否されました。
詳細な説明
さらに詳細な説明があります。この例では、file1samba_share_t タイプのラベルが付けられています。このタイプは、Samba を使用してエクスポートするファイルおよびディレクトリーに使用されます。この説明では、これらのアクセスが必要な場合に、Apache HTTP Server および Samba がアクセス可能なタイプにタイプを提案します。
アクセスの許可
アクセスを許可するための提案。これは、ファイルの再ラベル付け、ブール値の有効化、またはローカルポリシーモジュールの作成が必要になる場合があります。この場合、提案は Apache HTTP Server と Samba の両方がアクセスできるタイプでファイルにラベルを付けることです。
修正コマンド
アクセスを許可し、拒否を解決するための推奨されるコマンドです。この例では、file1 タイプを public_content_t に変更するコマンドを提供します。これは、Apache HTTP Server および Samba からアクセスできます。
追加情報
ポリシーパッケージ名やバージョン(selinux-policy-3.13.1-166.el7.noarch)などのバグレポートで便利な情報ですが、拒否の原因の解決に役立たない可能性があります。
生の監査メッセージ
拒否に関連付けられた /var/log/audit/audit.log からの生の監査メッセージ。AVC 拒否の各項目の詳細は、「生の監査メッセージ」 を参照してください。