Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.2. 사용된 로그 파일은 무엇입니까?

Red Hat Enterprise Linux에서는 기본 패키지 선택에서 제거되지 않는 한 dbusaudit 패키지가 기본적으로 설치됩니다. Yum을 사용하여 setroubleshoot-server 를 설치해야 합니다( yum install setroubleshoot-server 명령 사용).
auditd 데몬이 실행 중인 경우 다음과 같은 SELinux 거부 메시지가 기본적으로 /var/log/audit/audit.log 에 기록됩니다. 
type=AVC msg=audit(1223024155.684:49): avc:  denied  { getattr } for  pid=2000 comm="httpd" path="/var/www/html/file1" dev=dm-0 ino=399185 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:samba_share_t:s0 tclass=file
또한 /var/log/message 파일에 다음과 유사한 메시지가 작성됩니다. 
May 7 18:55:56 localhost setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to /var/www/html/file1 (samba_share_t). For complete SELinux messages. run sealert -l de7e30d6-5488-466d-a606-92c9f40d316d
Red Hat Enterprise Linux 7에서 setroubleshootd 는 더 이상 서비스로 지속적으로 실행되지 않습니다. 그러나 여전히 AVC 메시지를 분석하는 데 사용됩니다. 두 개의 새 프로그램이 필요할 때 setroubleshoot 를 시작하는 방법으로 작동합니다.
  • sedispatch 유틸리티는 감사 하위 시스템의 일부로 실행됩니다. AVC 거부 메시지가 반환되면 sedispatchdbus 를 사용하여 메시지를 보냅니다. 이미 실행 중인 경우 이 메시지는 setroubleshootd 로 바로 이동합니다. 실행되고 있지 않으면 sedispatch 가 자동으로 시작됩니다.
  • seapplet 유틸리티는 시스템 도구 모음에서 실행되며 setroubleshootd 의 dbus 메시지를 기다립니다. 알림 도구가 시작되어 사용자가 AVC 메시지를 검토할 수 있습니다.

절차 4.1. 자동으로 데몬 시작

  1. 부팅 시 자동으로 시작되도록 auditdrsyslog 데몬을 구성하려면 root 사용자로 다음 명령을 입력합니다. 
    ~]# systemctl enable auditd.service
    ~]# systemctl enable rsyslog.service
  2. 데몬이 활성화되었는지 확인하려면 쉘 프롬프트에 다음 명령을 입력합니다. 
    ~]$ systemctl is-enabled auditd
enabled

    ~]$ systemctl is-enabled rsyslog
enabled
    또는 systemctl status service-name.service 명령을 사용하고 명령 출력에서 활성화된 키워드를 검색합니다. 예를 들면 다음과 같습니다. 
    ~]$ systemctl status auditd.service | grep enabled
auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled)
systemd 데몬이 시스템 서비스를 관리하는 방법에 대한 자세한 내용은 시스템 관리자 가이드의 시스템 서비스 관리 장을 참조하십시오.