Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
4.2. 使用するログファイル
Red Hat Enterprise Linux では、dbus および audit のパッケージは、デフォルトのパッケージ選択から削除されなければ、デフォルトでインストールされます。setroubleshoot-server は Yum (
yum install setroubleshoot-server
コマンドを使用) を使用してインストールする必要があります。
auditd
が実行中であれば、以下のような SELinux 拒否メッセージはデフォルトで /var/log/audit/audit.log
に書き込まれます。
type=AVC msg=audit(1223024155.684:49): avc: denied { getattr } for pid=2000 comm="httpd" path="/var/www/html/file1" dev=dm-0 ino=399185 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:samba_share_t:s0 tclass=file
さらに、以下のようなメッセージは
/var/log/message
ファイルに書き込まれます。
May 7 18:55:56 localhost setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to /var/www/html/file1 (samba_share_t). For complete SELinux messages. run sealert -l de7e30d6-5488-466d-a606-92c9f40d316d
Red Hat Enterprise Linux 7 では、
setroubleshootd
はすでに定期的なサービスとしては稼働していませんが、AVC メッセージの分析にはまだ使われています。必要に応じて以下の 2 つのプログラムが setroubleshoot
を開始する方法として作動します。
sedispatch
ユーティリティーは、audit
サブシステムの一部として実行されます。AVC 拒否メッセージが返されると、sedispatch
はdbus
を使ってメッセージを送信します。これらのメッセージは、setroubleshootd
が実行中であればそこに直接送られます。実行中でなければ、sedispatch
がこれを自動的に開始します。seapplet
ユーティリティーはシステムツールバーで実行され、setroubleshootd
内の dbus メッセージを待機します。通知バブルを開始して、ユーザーが AVC メッセージを検討できるようにします。
手順4.1 デーモンの自動開始
auditd
およびrsyslog
デーモンが起動時に自動的に開始するように設定するには、root ユーザーで以下のコマンドを実行します。~]#
systemctl enable auditd.service
~]#
systemctl enable rsyslog.service
- これらのデーモンが有効であることを確認するには、シェルプロンプトで次のコマンドを入力します。
~]$
systemctl is-enabled auditd
enabled~]$
systemctl is-enabled rsyslog
enabled別の方法では、systemctl status service-name.service
コマンドを使ってenabled
というキーワードをコマンド出力で検索します。例を示します。~]$
systemctl status auditd.service | grep enabled
auditd.service - Security Auditing Service Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled)
systemd
デーモンでシステムサービスを管理する方法についての詳細情報は、『システム管理者のガイド』の「システムサービスの管理」の章を参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。