Selinuxログのトラブルシューティングの鍵は、正しいログを見つけて拒否情報(bào)を解釈することです。 1.ログは通常/var/log/audit/audit.logにあります（auditdが有効になっていない場合、/var/log/messagesまたは/var/log/syslogにあります）。 2. ausearch -m avc -ts最近またはgrep "avc：拒否された"を使用して拒否イベントを見つけ、scontext、tcontext、tclassなどのフィールドに注意を払ってください。 3.ログに基づいてアクセス障害の理由を判斷すると、プロセスがターゲットリソースコンテキストと一致しない場合、ソリューションにはファイルコンテキストの変更、ポリシーモジュールの作成、またはブール値の設(shè)定が含まれます。 4. Audit2、Audit2Allow、Sealert、およびその他のツールを使用して、検査効率を改善するために分析を支援できます。これらの手順を習(xí)得すると、Selinuxの問題が効果的に見つけることができます。

Selinuxロギングは実際には難しくありませんが、多くの人は、最初のフォーマットと場所で簡単に混亂しています。簡単に言えば、SELINUXの問題は通常、 /var/log/audit/audit.log audit/audit.logまたは/var/log/messagesなどのシステムログに記録されます。重要なのは、それらを見つけてそれらから問題を見る方法です。

1.一般的にSelinuxログはどこにありますか？

Selinuxの動作は主にAuditd Daemonを通じて記録されるため、デフォルトでは、ログはすべて次のものです。

• /var/log/audit/audit.log （これを表示することをお勧めします）
• auditdをインストールしない場合、 /var/log/messagesまたは/var/log/syslogに表示される場合があります

auditdが有効になっているかどうかわからない場合は、このコマンドを使用してチェックアウトできます。

 SystemCtlステータスauditd

実行されていない場合は、開始できます。

 Systemctl start auditd

2。Selinux拒否イベントをすばやく見つける方法は？

Selinuxが許可の問題に遭遇すると、通常avc: deniedタイプのメッセージが生成されます。次の方法を使用して検索できます。

• ausearchツールを使用して、拒否イベントを検索します。

   ausearch -m avc -ts最近

  このコマンドには、最新のAVC（アクセスベクトルキャッシュ）拒否情報(bào)がリストされています。

• または直接グレップ：

   GREP "AVC：否定" /var/log/audit/audit.log

各AVCメッセージには、いくつかの重要なフィールドが含まれています。

• scontext ：ソースコンテキスト（つまり、どのプロセスが拒否をトリガーするか）
• tcontext ：ターゲットコンテキスト（アクセスするターゲットリソース）
• tclass ：ターゲットタイプ（ファイル、ソケットなどなど）
• comm and exe ：コマンドと対応するプログラムパスを?qū)g行する

3.ログを理解して判斷する方法は？

たとえば、次のようなログの行が表示されます。

 Type = AVC MSG = audit（1620000000.123：456）：AVC：pid = 1234 comm = "httpd" name = "index.html" dev = "sda1" ino = 123456 scontext = system_u：system_r：httpd_t：s0 tcontext = unconfined_u：object_r：user_t：s0 tclass = file

これはつまり：

• httpdプロセスは、 index.htmlファイルの読み取りを試みませんでした
• セキュリティコンテキストはhttpd_tであり、ターゲットファイルのコンテキストはuser_tであるため
• Selinuxはこのアクセスを許可しません

いくつかの解決策があります：

• ファイルのセキュリティコンテキストを変更して、サービス要件を満たすようにします（推奨されるプラクティス）
• カスタムポリシーモジュールを作成またはロードします（コンテキストを変更できない狀況に適しています）
• 一時的にブール値を設(shè)定します（HTTPDがユーザーディレクトリにアクセスできるようにするなど）

たとえば、ファイルのコンテキストを変更します。

 chcon -t httpd_sys_content_t index.html

または、デフォルトのコンテキストを復(fù)元します（ファイルが標(biāo)準(zhǔn)ディレクトリに配置されている場合）：

 RESTORECON -V index.html

4.トラブルシューティングを簡素化できるツールは何ですか？

Selinuxは、問題をより速く分析するのに役立つ補(bǔ)助ツールを提供します。

• audit2why ：このAVCが拒否された理由を説明してください

  ausearch -m avc -ts最近| audit2why

• audit2allow ：ログに基づいてポリシーモジュールの提案を生成します

  ausearch -m avc -ts最近| audit2allow

• sealert ：より高度な分析ツール、 setroubleshootパッケージをインストールする必要があります

  SEALERT -A /VAR/log/audit/audit.log

  これらのツールは必要ありませんが、特にどこから始めればよいかわからない場合は、複雑なシナリオで非常に役立ちます。

  ---

  基本的にそれだけです。 Selinuxログは怖いように見えますが、いくつかのキーワードと一般的に使用されるコマンドをマスターする限り、トラブルシューティングは面倒ではありません。ログソース、コンテキストタイプ、ポリシーの制限など、多くの詳細(xì)が無視できるということです。問題に遭遇した場合は、Selinuxを閉じないでください。最初にログを確認(rèn)すると、多くの場合、原因をすばやく見つけることができます。

  以上がSelinuxログを確認(rèn)してトラブルシューティングする方法は？の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。