[7] SELinux – Logi

16 marca 2022 Wyłączono przez Adam [zicherka] Nogły

Decyzje o dostępie lub odmowie przez SELinux są buforowane raz, a odmowa dostępu jest wysyłana do plików dziennika.

Pamięć podręczna SELinux nazywa się AVC (Access Vector Cache), a dostępy odmowy to [AVC denials].

Dziennik odmowy AVC jest generowany za pośrednictwem usługi dziennika systemu lub usługi audytu, więc wymaga uruchomienia jednej z usług.

Jeśli usługa Rsyslog jest uruchomiona (domyślnie włączona), logi są również umieszczane w [/var/log/messages].

[1] Gdy usługa audytu jest wyłączona, a usługa Systemd Journald lub Rsyslog jest włączona, dzienniki odmów AVC są rejestrowane w dzienniku lub [/var/log/messages].

[root@vlsr01 ~]# journalctl -t setroubleshoot
-- Logs begin at Tue 2022-03-10 15:23:09 CET, end at Tue 2022-03-15 17:27:29 CET. –
Mar 14 20:46:04 vlsr01.zicher.lab setroubleshoot[1505]: SELinux is preventing /usr/>
[root@vlsr01 ~]# grep "avc: .denied" /var/log/messages
Mar 14 20:08:12 vlsr01 kernel: audit: type=1400 audit(1647284891.619:5): avc:  denied  { map } for  pid=782 comm="kdump-dep-gener" path="/var/lib/sss/mc/passwd" dev="dm-0" ino=18315155 scontext=system_u:system_r:init_t:s0 tcontext=system_u:object_r:var_lib_t:s0 tclass=file permissive=1
Mar 14 20:08:12 vlsr01 kernel: audit: type=1400 audit(1647284891.692:6): avc:  denied  { write } for  pid=782 comm="kdump-dep-gener" name="nss" dev="dm-0" ino=35056828 scontext=system_u:system_r:init_t:s0 tcontext=system_u:object_r:var_lib_t:s0 tclass=sock_file permissive=1

[2] Gdy usługa audytu jest włączona, dzienniki odmów AVC są zapisywane w [/var/log/audit/audit.log].

[root@vlsr01 ~]# grep "avc: .denied" /var/log/audit/audit.log
type=AVC msg=audit(1646556540.448:42): avc:  denied  { execute } for  pid=1074 comm="(spatcher)" name="nm-dispatcher" dev="dm-0" ino=17408982 scontext=system_u:system_r:init_t:s0 tcontext=system_u:object_r:unlabeled_t:s0 tclass=file permissive=0 trawcon="system_u:object_r:NetworkManager_dispatcher_exec_t:s0"
type=AVC msg=audit(1646556565.448:74): avc:  denied  { execute } for  pid=1278 comm="(spatcher)" name="nm-dispatcher" dev="dm-0" ino=17408982 scontext=system_u:system_r:init_t:s0 tcontext=system_u:object_r:unlabeled_t:s0 tclass=file permissive=0 trawcon="system_u:object_r:NetworkManager_dispatcher_exec_t:s0"

[3] W przypadku wiadomości przez Auditd, możliwe jest ich przeszukanie za pomocą polecenia [ausearch].

[root@vlsr01 ~]# ausearch -m AVC
----
time->Sun Mar  6 09:49:00 2022
type=PROCTITLE msg=audit(1646556540.448:42): proctitle="(spatcher)"
type=SYSCALL msg=audit(1646556540.448:42): arch=c000003e syscall=59 success=no exit=-13 a0=5562b8a48280 a1=5562b89b9720 a2=5562b8a57040 a3=0 items=0 ppid=1 pid=1074 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="(spatcher)" exe="/usr/lib/systemd/systemd" subj=system_u:system_r:init_t:s0 key=(null)
type=AVC msg=audit(1646556540.448:42): avc:  denied  { execute } for  pid=1074 comm="(spatcher)" name="nm-dispatcher" dev="dm-0" ino=17408982 scontext=system_u:system_r:init_t:s0 tcontext=system_u:object_r:unlabeled_t:s0 tclass=file permissive=0 trawcon="system_u:object_r:NetworkManager_dispatcher_exec_t:s0"

[4] W przypadku wiadomości za pośrednictwem Auditd możliwe jest wyświetlenie raportów podsumowujących za pomocą polecenia [aureport].

[root@vlsr01 ~]# aureport --avc
AVC Report
===============================================================
# date time comm subj syscall class permission obj result event
===============================================================
1. 06.03.2022 09:49:00 (spatcher) system_u:system_r:init_t:s0 59 file execute system_u:object_r:unlabeled_t:s0 denied 42
2. 06.03.2022 09:49:25 (spatcher) system_u:system_r:init_t:s0 59 file execute system_u:object_r:unlabeled_t:s0 denied 74
3. 06.03.2022 09:59:28 (spatcher) system_u:system_r:init_t:s0 59 file execute system_u:object_r:unlabeled_t:s0 denied 34
4. 06.03.2022 09:59:53 (spatcher) system_u:system_r:init_t:s0 59 file execute system_u:object_r:unlabeled_t:s0 denied 61
5. 06.03.2022 10:55:52 ? system_u:system_r:system_dbusd_t:s0-s0:c0.c1023 0 (null) (null) (null) unset 170