CentOS4.x SELinux

SELinuxが有効な環境だと、思わぬところでWEBサーバやメールサーバ等が動かない場合があります

ここでは、SELinuxが吐き出すエラーメッセージからポリシーを生成する方法を記載します

Recommend Book

SELinuxの概念・導入・設定方法をわかりやすく解説

安心のオライリー本です

SELinuxとは

SELinuxは、プロセスに「ドメイン」、リソース(ファイルやディレクトリ等)に「タイプ」というラベルを付与し、ドメインとタイプ間のパーミッションチェックを行うことにより、システムのセキュリティを高める仕込みです

エラーメッセージからルールを生成するツール

エラーメッセージからルールを生成するツールで、 audit2allow というのがあります

これを使ってシスログから新しいポリシーを作成します

使い方

/var/log/message等、エラーログファイルを指定する

# audit2allow -i /var/log/message -o ルール.te

dmesgによる出力ログからルールを作成する

# audit2allow -d -o ルール.te

手順

以下の様にしてルールを追加します

# cd /etc/selinux/targeted/src/policy
# audit2allow -d /var/log/message -o ./domains/addRules.te
# make reload

これをエラーが出なくなるまで繰り返し行います

でも、これで作られるルールだと確かにうまく動くようになるけど、与えてはいけない権限まで与えているかもしれないです

ルールをよく理解した上で、正しく定義しましょう!

関連ページ