![합법적인 프로그램이 내 시스템에 액세스하는 것을 허용하지 않는 SELinux 문제를 해결하는 방법은 무엇입니까?](https://linux55.com/image/55968/%ED%95%A9%EB%B2%95%EC%A0%81%EC%9D%B8%20%ED%94%84%EB%A1%9C%EA%B7%B8%EB%9E%A8%EC%9D%B4%20%EB%82%B4%20%EC%8B%9C%EC%8A%A4%ED%85%9C%EC%97%90%20%EC%95%A1%EC%84%B8%EC%8A%A4%ED%95%98%EB%8A%94%20%EA%B2%83%EC%9D%84%20%ED%97%88%EC%9A%A9%ED%95%98%EC%A7%80%20%EC%95%8A%EB%8A%94%20SELinux%20%EB%AC%B8%EC%A0%9C%EB%A5%BC%20%ED%95%B4%EA%B2%B0%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
일부 프로그램이 업무를 수행하는 동안 SELinux에서 액세스가 거부되는 시스템이 있습니다. 이러한 프로그램은 ClamAV, fall2ban 및 Logwatch입니다.
SELinux 문제 해결사의 지침에 따라 ClamAV(Clamscan)에 대한 모든 액세스를 성공적으로 허용한 것 같습니다. 문제 해결사에서 Fail2ban 및 Logwatch도 허용했지만 여전히 일부 액세스가 거부되고 있는 것 같습니다.
프로그램을 허용하는 명령은 다음과 같습니다.
grep fail2ban-client /var/log/audit/audit.log | audit2allow -M mypol
그리고
semodule -i mypol.pp
질문:
SELinux가 이러한 프로그램에 대한 액세스를 거부하는지 여부, 시스템에서 필요한 액세스 권한 및 이 문제를 해결하는 방법을 어떻게 알 수 있습니까?
이것은: ausearch-m avc
답변1
때때로 selinux는 로깅 없이 리소스에 대한 액세스를 거부합니다. '검토 안 함' 규칙이 활성화되어 있는지 확인하세요. 활성화하거나 일시적으로 비활성화하려면 "semodule -B" 또는 "-DB"를 사용하십시오.
답변2
SELinux 로그가 있는 곳입니다. 로깅은 다음에서 수행됩니다.
/var/log/audit/audit.log
파일을 tailf하고 grep 파이프를 사용하여 원하는 것을 검색하십시오.
텍스트 편집기를 사용하여 /etc/selinux/targeted/booleans 파일을 엽니다.
vi /etc/selinux/targeted/booleans
예를 들어 Apache를 제어하려면
httpd_disable_trans 값을 다음과 같이 수정합니다: httpd_disable_trans=1
파일을 저장하고 닫습니다. 다음 두 명령을 입력하십시오.
# setsebool httpd_disable_trans 1
# /etc/init.d/httpd restart
X에서 이 작업을 수행하려면
쉘 프롬프트 열기
명령을 입력하다
system-config-securitylevel &
SELinux 탭 선택 > "httpd 데몬에 대한 SELinux 보호 비활성화" 체크박스 클릭 > 변경 사항 저장
# /etc/init.d/httpd r
변경하려면 selinux를 다시 시작하세요.