このセクションでは、SELinux による AVC 拒否された原因と問題解決をサポートしてくれる SETroubleShoot のインストールについて紹介します。 SETroubleShoot を使用すると、SELinux で AVC 拒否された問題を解決しやすくなります。
setroubleshoo-server パッケージをインストールします。
[root@controller ~]# yum -y install setroubleshoot-server
読み込んだプラグイン:fastestmirror
Loading mirror speeds from cached hostfile
epel/x86_64/metalink | 7.8 kB 00:00
* base: ftp.iij.ad.jp
* epel: ftp.iij.ad.jp
* extras: ftp.iij.ad.jp
* updates: ftp.iij.ad.jp
base | 3.6 kB 00:00
centos-ceph-luminous | 2.9 kB 00:00
centos-qemu-ev | 2.9 kB 00:00
epel | 3.2 kB 00:00
extras | 3.4 kB 00:00
updates | 3.4 kB 00:00
(1/2): epel/x86_64/updateinfo | 940 kB 00:09
epel/x86_64/primary FAILED
https://ftp.yzu.edu.tw/Linux/Fedora-EPEL/7/x86_64/repodata/24ae992e38c67874fc5bfefcbff166e01085dfdff73b00779df999688c3b87ef-primary.xml.gz: [Errno 14] curl#56 - "TCP connection reset by peer"
他のミラーを試します。
(2/2): epel/x86_64/primary | 3.6 MB 00:05
epel 12754/12754
依存性の解決をしています
--> トランザクションの確認を実行しています。
---> パッケージ setroubleshoot-server.x86_64 0:3.2.30-3.el7 を インストール
--> 依存性の処理をしています: systemd-python >= 206-1 のパッケージ: setroubleshoot-server-3.2.30-3.el7.x86_64
--> 依存性の処理をしています: setroubleshoot-plugins >= 3.0.62 のパッケージ: setroubleshoot-server-3.2.30-3.el7.x86_64
--> 依存性の処理をしています: pygobject2 のパッケージ: setroubleshoot-server-3.2.30-3.el7.x86_64
--> トランザクションの確認を実行しています。
---> パッケージ pygobject2.x86_64 0:2.28.6-11.el7 を インストール
---> パッケージ setroubleshoot-plugins.noarch 0:3.0.67-3.el7 を インストール
---> パッケージ systemd-python.x86_64 0:219-62.el7 を インストール
--> 依存性の処理をしています: systemd-libs = 219-62.el7 のパッケージ: systemd-python-219-62.el7.x86_64
--> 依存性の処理をしています: systemd = 219-62.el7 のパッケージ: systemd-python-219-62.el7.x86_64
--> トランザクションの確認を実行しています。
---> パッケージ systemd.x86_64 0:219-57.el7_5.3 を 更新
--> 依存性の処理をしています: systemd = 219-57.el7_5.3 のパッケージ: systemd-sysv-219-57.el7_5.3.x86_64
---> パッケージ systemd.x86_64 0:219-62.el7 を アップデート
--> 依存性の処理をしています: libcryptsetup.so.12(CRYPTSETUP_2.0)(64bit) のパッケージ: systemd-219-62.el7.x86_64
--> 依存性の処理をしています: libcryptsetup.so.12()(64bit) のパッケージ: systemd-219-62.el7.x86_64
---> パッケージ systemd-libs.x86_64 0:219-57.el7_5.3 を 更新
---> パッケージ systemd-libs.x86_64 0:219-62.el7 を アップデート
--> トランザクションの確認を実行しています。
---> パッケージ cryptsetup-libs.x86_64 0:1.7.4-4.el7 を 更新
---> パッケージ cryptsetup-libs.x86_64 0:2.0.3-3.el7 を アップデート
--> 依存性の処理をしています: libjson-c.so.2()(64bit) のパッケージ: cryptsetup-libs-2.0.3-3.el7.x86_64
---> パッケージ systemd-sysv.x86_64 0:219-57.el7_5.3 を 更新
---> パッケージ systemd-sysv.x86_64 0:219-62.el7 を アップデート
--> トランザクションの確認を実行しています。
---> パッケージ json-c.x86_64 0:0.11-4.el7_0 を インストール
--> 依存性解決を終了しました。
依存性を解決しました
================================================================================
Package アーキテクチャー
バージョン リポジトリー
容量
================================================================================
インストール中:
setroubleshoot-server x86_64 3.2.30-3.el7 base 390 k
依存性関連でのインストールをします:
json-c x86_64 0.11-4.el7_0 base 31 k
pygobject2 x86_64 2.28.6-11.el7 base 226 k
setroubleshoot-plugins noarch 3.0.67-3.el7 base 346 k
systemd-python x86_64 219-62.el7 base 132 k
依存性関連での更新をします:
cryptsetup-libs x86_64 2.0.3-3.el7 base 338 k
systemd x86_64 219-62.el7 base 5.1 M
systemd-libs x86_64 219-62.el7 base 405 k
systemd-sysv x86_64 219-62.el7 base 83 k
トランザクションの要約
================================================================================
インストール 1 パッケージ (+4 個の依存関係のパッケージ)
更新 ( 4 個の依存関係のパッケージ)
総ダウンロード容量: 7.0 M
Downloading packages:
Delta RPMs disabled because /usr/bin/applydeltarpm not installed.
(1/9): setroubleshoot-plugins-3.0.67-3.el7.noarch.rpm | 346 kB 00:01
(2/9): json-c-0.11-4.el7_0.x86_64.rpm | 31 kB 00:01
(3/9): cryptsetup-libs-2.0.3-3.el7.x86_64.rpm | 338 kB 00:02
(4/9): pygobject2-2.28.6-11.el7.x86_64.rpm | 226 kB 00:02
(5/9): systemd-python-219-62.el7.x86_64.rpm | 132 kB 00:00
(6/9): systemd-libs-219-62.el7.x86_64.rpm | 405 kB 00:02
(7/9): systemd-sysv-219-62.el7.x86_64.rpm | 83 kB 00:02
(8/9): systemd-219-62.el7.x86_64.rpm | 5.1 MB 00:11
(9/9): setroubleshoot-server-3.2.30-3.el7.x86_64.rpm | 390 kB 00:12
--------------------------------------------------------------------------------
合計 546 kB/s | 7.0 MB 00:13
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
更新します : systemd-libs-219-62.el7.x86_64 1/13
インストール中 : json-c-0.11-4.el7_0.x86_64 2/13
更新します : cryptsetup-libs-2.0.3-3.el7.x86_64 3/13
更新します : systemd-219-62.el7.x86_64 4/13
インストール中 : systemd-python-219-62.el7.x86_64 5/13
インストール中 : pygobject2-2.28.6-11.el7.x86_64 6/13
インストール中 : setroubleshoot-plugins-3.0.67-3.el7.noarch 7/13
インストール中 : setroubleshoot-server-3.2.30-3.el7.x86_64 8/13
更新します : systemd-sysv-219-62.el7.x86_64 9/13
整理中 : systemd-sysv-219-57.el7_5.3.x86_64 10/13
整理中 : systemd-219-57.el7_5.3.x86_64 11/13
整理中 : cryptsetup-libs-1.7.4-4.el7.x86_64 12/13
整理中 : systemd-libs-219-57.el7_5.3.x86_64 13/13
検証中 : cryptsetup-libs-2.0.3-3.el7.x86_64 1/13
検証中 : systemd-libs-219-62.el7.x86_64 2/13
検証中 : setroubleshoot-server-3.2.30-3.el7.x86_64 3/13
検証中 : systemd-219-62.el7.x86_64 4/13
検証中 : systemd-sysv-219-62.el7.x86_64 5/13
検証中 : systemd-python-219-62.el7.x86_64 6/13
検証中 : setroubleshoot-plugins-3.0.67-3.el7.noarch 7/13
検証中 : pygobject2-2.28.6-11.el7.x86_64 8/13
検証中 : json-c-0.11-4.el7_0.x86_64 9/13
検証中 : cryptsetup-libs-1.7.4-4.el7.x86_64 10/13
検証中 : systemd-sysv-219-57.el7_5.3.x86_64 11/13
検証中 : systemd-219-57.el7_5.3.x86_64 12/13
検証中 : systemd-libs-219-57.el7_5.3.x86_64 13/13
インストール:
setroubleshoot-server.x86_64 0:3.2.30-3.el7
依存性関連をインストールしました:
json-c.x86_64 0:0.11-4.el7_0
pygobject2.x86_64 0:2.28.6-11.el7
setroubleshoot-plugins.noarch 0:3.0.67-3.el7
systemd-python.x86_64 0:219-62.el7
依存性を更新しました:
cryptsetup-libs.x86_64 0:2.0.3-3.el7 systemd.x86_64 0:219-62.el7
systemd-libs.x86_64 0:219-62.el7 systemd-sysv.x86_64 0:219-62.el7
完了しました!
[root@controller ~]#
setroubleshoot の設定ファイル( /etc/tmpfiles.d/setroubleshoot.conf )を新規作成し、以下設定を追加します。
[root@controller ~]# vi /etc/tmpfiles.d/setroubleshoot.conf
(以下設定を新規作成)
D /var/run/setroubleshoot 0755 setroubleshoot root -/var/run/setroubleshoot ディレクトリを作成します。既に作成されている場合があります。
[root@controller ~]# mkdir --context=system_u:object_r:setroubleshoot_var_run_t:s0 /var/run/setroubleshoot mkdir: ディレクトリ `/var/run/setroubleshoot' を作成できません: ファイルが存在します [root@controller ~]#
/var/run/setroubleshoot に対するアクセス権と所有権を設定します。
[root@controller ~]# chown setroubleshoot:root /var/run/setroubleshoot [root@controller ~]#
/var/run/setroubleshoot に対するアクセス権限を設定します。
[root@controller ~]# chmod 755 /var/run/setroubleshoot [root@controller ~]#
Linux システムを監査するサービス( auditd )を再起動します。
■ 再起動
[root@controller ~]# sudo service auditd restart
Stopping logging: [ OK ]
Redirecting start to /bin/systemctl start auditd.service
[root@controller ~]#
■ 起動状態の確認
[root@controller ~]# sudo service auditd status
Redirecting to /bin/systemctl status auditd.service
● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since 金 2018-12-21 23:43:59 JST; 12s ago
Docs: man:auditd(8)
https://github.com/linux-audit/audit-documentation
Process: 26778 ExecStartPost=/sbin/augenrules --load (code=exited, status=0/SUCCESS)
Process: 26736 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
Main PID: 26737 (auditd)
CGroup: /system.slice/auditd.service
├─26737 /sbin/auditd
├─26739 /sbin/audispd
└─26741 /usr/sbin/sedispatch
12月 21 23:43:59 controller augenrules[26778]: lost 0
12月 21 23:43:59 controller augenrules[26778]: backlog 1
12月 21 23:43:59 controller augenrules[26778]: enabled 1
12月 21 23:43:59 controller augenrules[26778]: failure 1
12月 21 23:43:59 controller augenrules[26778]: pid 26737
12月 21 23:43:59 controller augenrules[26778]: rate_limit 0
12月 21 23:43:59 controller augenrules[26778]: backlog_limit 8192
12月 21 23:43:59 controller augenrules[26778]: lost 0
12月 21 23:43:59 controller augenrules[26778]: backlog 1
12月 21 23:43:59 controller systemd[1]: Started Security Auditing Service.
[root@controller ~]#
dbus サービスを再起動します。
[root@controller ~]# systemctl restart dbus PolicyKit daemon disconnected from the bus. We are no longer a registered authentication agent. [root@controller ~]#