CentOS 8
Sponsored Link

SELinux : ログを確認する2019/09/28

 
SELinux によるアクセス可否の決定は一旦キャッシュされ、アクセスが拒否の場合はメッセージがログに記録されます。 SELinux のキャッシュは AVC (Access Vector Cache) と呼ばれ、アクセス拒否は AVC 拒否とも呼ばれます。
AVC 拒否のログは、Rsyslog サービス または Audit サービス経由で出力されます。
よって、いずれかのサービスが起動している必要があります。
[1] Audit サービスが無効 且つ Rsyslog サービスが有効の場合は、ログは [/var/log/messages] に記録されます。
[root@dlp ~]#
grep "avc: .denied" /var/log/messages

Sep 26 19:49:38 dlp kernel: audit: type=1400 audit(1569563378.951:4): avc:  denied  { name_bind } for  pid=1326 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0
Sep 26 19:49:38 dlp kernel: audit: type=1400 audit(1569563378.951:5): avc:  denied  { name_bind } for  pid=1326 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0
[2] Audit サービスが有効の場合は、ログは [/var/log/audit/audit.log] に出力されます。
[root@dlp ~]#
grep "avc: .denied" /var/log/audit/audit.log

type=AVC msg=audit(1569562236.212:158): avc:  denied  { name_bind } for  pid=28610 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0
type=AVC msg=audit(1569562236.213:159): avc:  denied  { name_bind } for  pid=28610 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0
type=AVC msg=audit(1569563212.919:163): avc:  denied  { name_bind } for  pid=28675 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0
type=AVC msg=audit(1569563212.919:164): avc:  denied  { name_bind } for  pid=28675 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0
[3] Auditd 経由のログは [ausearch] コマンドを使用すると、時刻等を見易い形式で出力できます。
[root@dlp ~]#
ausearch -m AVC

----
time->Fri Sep 26 18:46:52 2019
type=PROCTITLE msg=audit(1569563212.919:164): proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44
type=SYSCALL msg=audit(1569563212.919:164): arch=c000003e syscall=49 success=no exit=-13 a0=3 a1=55ea69d01280 a2=10 a3=7ffe36d31c0c items=0 ppid=1 pid=28675 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null)
type=AVC msg=audit(1569563212.919:164): avc:  denied  { name_bind } for  pid=28675 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0
----
time->Fri Sep 26 19:33:21 2019
type=PROCTITLE msg=audit(1569566001.330:125): proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44
type=SYSCALL msg=audit(1569566001.330:125): arch=c000003e syscall=49 success=no exit=-13 a0=4 a1=55c2cdde7340 a2=1c a3=7ffc3e9c10ec items=0 ppid=1 pid=1790 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null)
type=AVC msg=audit(1569566001.330:125): avc:  denied  { name_bind } for  pid=1790 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0
----
time->Fri Sep 26 19:33:21 2019
type=PROCTITLE msg=audit(1569566001.331:126): proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44
type=SYSCALL msg=audit(1569566001.331:126): arch=c000003e syscall=49 success=no exit=-13 a0=3 a1=55c2cdde7280 a2=10 a3=7ffc3e9c10dc items=0 ppid=1 pid=1790 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null)
type=AVC msg=audit(1569566001.331:126): avc:  denied  { name_bind } for  pid=1790 comm="httpd" src=83 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0
[4] Auditd 経由のログは [aureport] コマンドを利用すると、サマリ出力できます。
[root@dlp ~]#
aureport --avc


AVC Report
===============================================================
# date time comm subj syscall class permission obj result event
===============================================================
1. 09/26/2019 02:43:13 ? (null) 0 (null) (null) (null) unset 104
2. 09/26/2019 02:43:16 ? (null) 0 (null) (null) (null) unset 105
3. 09/26/2019 02:58:09 ? (null) 0 (null) (null) (null) unset 111
4. 09/26/2019 02:58:09 ? (null) 0 (null) (null) (null) unset 112
5. 09/26/2019 04:12:17 ? (null) 0 (null) (null) (null) unset 141
.....
.....
15. 09/27/2019 19:48:50 ? (null) 0 (null) (null) (null) unset 191
16. 09/27/2019 19:48:50 ? (null) 0 (null) (null) (null) unset 192
17. 09/27/2019 20:33:21 httpd system_u:system_r:httpd_t:s0 49 tcp_socket name_bind system_u:object_r:reserved_port_t:s0 denied 125
18. 09/27/2019 20:33:21 httpd system_u:system_r:httpd_t:s0 49 tcp_socket name_bind system_u:object_r:reserved_port_t:s0 denied 126
関連コンテンツ