내 데스크톱에서는 SELinux 위반이 발생하면 GNOME 알림이 표시되어 디버깅이 쉬워지지만 서버에서는 이 알림이 표시되지 않습니다. 위반이 발생하면 세부 정보가 포함된 이메일을 보내도록 SELinux를 설정할 수 있는 방법이 있습니까?
노트:여러 (2) 서버에 배포하고 싶습니다.
답변1
중 하나를 기반으로에 대한 의견setroubleshoot다음과 같이 추가 패키지를 설치할 수 있습니다.
$ sudo yum install -y setroubleshoot
설치 후 구성 파일, 특히 다음 섹션을 살펴보십시오.
[email]
# recipients_filepath: Path name of file with email recipients. One address
# per line, optionally followed by enable flag. Comment character is #.
recipients_filepath = /var/lib/setroubleshoot/email_alert_recipients
이제 참조 파일을 생성하십시오.
$ echo "[email protected]" > /var/lib/setroubleshoot/email_alert_recipients
그런 다음 서비스를 다시 시작/시작하십시오.
$ sudo systemctl start setroubleshoot
고급 옵션
setroubleshoot또한 email_alert_recipients 파일을 통해 SE 경고를 필터링하는 기능을 제공합니다.
[email protected] filter_type=after_first
필터가 좀 어렵네요문서의 빛그러나 그 과정은 다음과 같습니다.
Ignore After First경보::
- 이것이 기본 설정입니다. 주소는 처음 트리거될 때만 경고를 받습니다. 모든 후속 알림에 의해 트리거된 관련 알림에 대해 이메일 알림이 필터링됩니다.
Never Ignore::
- 각 알림의 각 인스턴스에 대해 이메일 알림이 이 주소로 전송됩니다.
Ignore Always::
이메일 알림은 이 주소로 전송되지 않습니다. 이를 사용하여 주소에 대한 경고를 일시적으로 비활성화할 수 있습니다.
그런데 이메일 알림을 받고 싶은 노드에 데스크톱 세션이 없나요? 예를 들어 서버를 어떻게 모니터링합니까?
파일을 직접 편집할 수 있습니다
/var/lib/setroubleshoot/email_alert_recipients. 위의 GUI에 의해 수정되는 파일입니다. 파일 형식은 라인 기반이고 파운드(#) 문자는 주석 문자이며 주석은 라인 끝까지 확장되며 빈 라인은 무시됩니다.노트:한 줄에 하나의 주소와 그 뒤에 오는 주소(공백으로 구분)는 이름=값 형식의 선택적 옵션입니다. 현재는 하나의 옵션만 있습니다:
filter_type::after_first,never, 또는always위의 내용을 많이 편집했지만 FAQ 내에서 이 섹션의 "정신"을 유지하려고 노력했습니다.
인용하다
답변2
여러 서버의 경우 경고를 받는 더 좋은 방법은 이 logcheck패키지를 사용하는 것입니다.
서버 측에 설치 logcheck하고 이메일을 트리거하려는 예상 규칙에 따라 이메일을 처리하고 보내는 규칙을 정의합니다.
이렇게 하면 내일 SELinux 이외의 다른 규칙이 필요한 경우 해당 규칙을 추가할 수 있습니다.
logcheck이미 기본 규칙 세트가 제공됩니다. logcheckLinux 서버 몇 대만으로 소규모 인프라를 구축했을 때 한동안 이 기능을 사용했습니다 .
분명히 이메일을 보내려면 이메일을 보낼 수 있도록 최소한의 구성을 갖춘 MTA 서버 측도 있어야 합니다. 내부 이메일인지 Gmail인지에 따라 다르게 설정해야 합니다.
대규모 인프라의 경우 중앙 syslog 서버를 보유하고 해당 서버에서 로그를 처리하는 것이 좋지만 서버 2대에 대한 답변으로 판단하면 이에 대해 더 자세히 설명하지 않겠습니다.