2009年8月21日

[jsosug:00101]SELinuxのログを詳細に出す方法をご教示願いたく

初めまして、本日よりメーリングリストに参加させていただきました白山と申し
ます。どうか宜しくお願いいたします。

本日は、SELinuxのログをより詳細に出力する方法について質問させていただき
たく、メールを送らせていただきます。

現在、
・CentOS5.3 Linux

・SELinuxのTargetdポリシーが有効
・auditdが動いており、/var/log/audit/audit.logにSELinuxのログが一手に吐
き出される状態
で運用しております。

この程、この環境でRuby on Rails(+Fast CGI)を動かすべく環境を整えました。
現在、

# setenforce 0 #Permissive

で、Ruby on Railsの全てのプログラムが正常に動作する状態です。

この状態でsetenforce 1としてSELinuxを有効にしたところ、プログラムは動作
しなくなり、audit.logにも多数の avc: denied {read} 等が出ておりましたの
で、SELinuxのaudit2allowツールを使って以下のようにしました。

# audit2allow -M rubyonrails -i /var/log/audit/audit.log
# semodule -i rubyonrails.pp

何度かaudit2allowとaudit.logを交互に眺めながらトライアンドエラーしている
内に、audit.logには一切 "avc denied" 等の文言が出なくなり、これで許可し
きったかと思ったのですが、相変わらずRuby on Railsプログラムは動作せず、
試しにその状態でもう一度SELinuxをPermissiveモードにしてみるときちんと動
作します。

これまで、audit.logを一行一行眺めながら、全ての deny を取り去ってSELinux
がきちんと動作しなかった経験がなかったので狼狽してしまいました。
ログにこれ以上何も出なくなってしまったので、現在は問題解決の取っ掛かりを
失ってしまったような状態です。

とりあえず安直に「もっと詳細なログを出すことが出来れば何か分かるのではな
いか?」と考えて表題の通りなご質問になった次第です。
どのようなアドバイスでも感謝いたします。どうぞ宜しくお願い申し上げます。


追記:
Ruby on Railsを構成する環境は以下の通り、RPMで導入したものとソースからビ
ルドしたものが混在しております。自分でビルドしたバイナリや、それを元に自
作したRPMからインストールした場合にどのようなドメインやタイプが割り当て
られるのか無知であるため、情報として追記させていただきました。

・httpd-2.2.3-22.el5.centos.2 (公式リポジトリのRPM)
・ruby 1.8.6 (ソースから自作したRPM)
・rubygems 1.3.5 (ソースから自作したRPM)
・fastcgi 2.4.0 (ソースから自作したRPM)
・mod_fastcgi 2.4.6 (ソースから自作したRPM)
・rails 2.0.2 (gem installコマンドにてインストール)


以上、長文失礼いたしました。

--
┏ ─────────────────────── ┓
  白山文彦 shiroyama@xxxxx
       株式会社SOBAプロジェクト 開発部
       tel 075-323-6066 fax 075-323-6067
       http://www.soba-project.com/
┗ ─────────────────────── ┛

_______________________________________________
Japan secure operating system users group
users-ml@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/jsosug-users


投稿者 xml-rpc : 2009年8月21日 17:03
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/87689
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。