2009年8月21日

[jsosug:00102] Re:SELinuxのログを詳細に出す方法をご教示願いたく

海外です。

ちょっと CentOS5.3 でこのオプションがサポートされているかどうか、
定かではないのですが

semodule -BD

を実行し、その後で再度ログを収集するというのではいかがでしょう?


最近の SELinux ポリシーでは、プログラムの実行に必要な権限を網羅的に
許可するのではなく、一部のあってもなくても構わない権限については、
代わりに dontaudit ルールを用いるようにしています。

# 例えば、コンソールにエラーメッセージを吐く時に必要な write 権限
## どうせプログラムは書き込みが成功したかチェックしないので :-)

ですが、この場合『実際には拒否られているのにログには出力されない』と
いう問題が発生することがあります。

semodule コマンドの -B は、*.pp ファイルからのポリシーの再ビルド、
-D は再ビルド時に dontaudit ルールを無効化するオプションです。

追記:
rubyonrails.pp の元になったログファイルを送付して頂ければ、もう少し
適切なアドバイスも可能かと思います。
例えば、インストール先のファイルに適切な定義済みタイプを設定する、など。

それでは、取り急ぎ。

Fumihiko Shiroyama wrote:
> 初めまして、本日よりメーリングリストに参加させていただきました白山と申し
> ます。どうか宜しくお願いいたします。
>
> 本日は、SELinuxのログをより詳細に出力する方法について質問させていただき
> たく、メールを送らせていただきます。
>
> 現在、
> ・CentOS5.3 Linux
> ・SELinuxのTargetdポリシーが有効
> ・auditdが動いており、/var/log/audit/audit.logにSELinuxのログが一手に吐
> き出される状態
> で運用しております。
>
> この程、この環境でRuby on Rails(+Fast CGI)を動かすべく環境を整えました。
> 現在、
>
> # setenforce 0 #Permissive
>
> で、Ruby on Railsの全てのプログラムが正常に動作する状態です。
>
> この状態でsetenforce 1としてSELinuxを有効にしたところ、プログラムは動作
> しなくなり、audit.logにも多数の avc: denied {read} 等が出ておりましたの
> で、SELinuxのaudit2allowツールを使って以下のようにしました。
>
> # audit2allow -M rubyonrails -i /var/log/audit/audit.log
> # semodule -i rubyonrails.pp
>
> 何度かaudit2allowとaudit.logを交互に眺めながらトライアンドエラーしている
> 内に、audit.logには一切 "avc denied" 等の文言が出なくなり、これで許可し
> きったかと思ったのですが、相変わらずRuby on Railsプログラムは動作せず、
> 試しにその状態でもう一度SELinuxをPermissiveモードにしてみるときちんと動
> 作します。
>
> これまで、audit.logを一行一行眺めながら、全ての deny を取り去ってSELinux
> がきちんと動作しなかった経験がなかったので狼狽してしまいました。
> ログにこれ以上何も出なくなってしまったので、現在は問題解決の取っ掛かりを
> 失ってしまったような状態です。
>
> とりあえず安直に「もっと詳細なログを出すことが出来れば何か分かるのではな
> いか?」と考えて表題の通りなご質問になった次第です。
> どのようなアドバイスでも感謝いたします。どうぞ宜しくお願い申し上げます。
>
>
> 追記:
> Ruby on Railsを構成する環境は以下の通り、RPMで導入したものとソースからビ
> ルドしたものが混在しております。自分でビルドしたバイナリや、それを元に自
> 作したRPMからインストールした場合にどのようなドメインやタイプが割り当て
> られるのか無知であるため、情報として追記させていただきました。
>
> ・httpd-2.2.3-22.el5.centos.2 (公式リポジトリのRPM)
> ・ruby 1.8.6 (ソースから自作したRPM)
> ・rubygems 1.3.5 (ソースから自作したRPM)
> ・fastcgi 2.4.0 (ソースから自作したRPM)
> ・mod_fastcgi 2.4.6 (ソースから自作したRPM)
> ・rails 2.0.2 (gem installコマンドにてインストール)
>
>
> 以上、長文失礼いたしました。
>


--
OSS Platform Development Division, NEC
KaiGai Kohei <kaigai@xxxxx>

_______________________________________________
Japan secure operating system users group
users-ml@xxxxx
http://lists.sourceforge.jp/mailman/listinfo/jsosug-users


投稿者 xml-rpc : 2009年8月21日 17:43
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/87691
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。