Ero sivun ”Security-Enhanced Linux” versioiden välillä

Rivi 93:

</syntaxhighlight>

Näin kansion SELinux-tyyppi muutetaan muotoon <tt>httpd_sys_rw_content_t</tt>. Nämä tyypit, kuten muutkin SELinux-asetukset ovat jakelukohtaisia.

=== Lokien tarkastelu ja vianmääritys ===

SELinuxin kanssa työskennellessä haastavinta on usein ymmärtää, miksi jokin prosessi tai sovellus estetään ja miten tämä estyminen korjataan (eli miten politiikkaa muokataan).

==== 1. SELinux-lokien sijainti ====

SELinux-tapahtumat kirjoitetaan Linuxin audit-järjestelmän kautta.

* Lokitiedosto: Suurin osa SELinuxin estotapahtumista (AVC-kielto, "Access Vector Cache denied") kirjataan tiedostoon ''/var/log/audit/audit.log''. Vanhemmissa tai muissa jakeluissa lokit voivat löytyä myös tiedostosta'' /var/log/messages'' tai ''/var/log/syslog''.

* Tärkeä avainsana: Lokiviestejä etsiessä kannattaa suodattaa avainsanalla ''SELINUX_ERR'' tai ''denied''.

==== 2. Apuohjelmat lokien tulkintaan ====

Raakojen lokiviestien tulkitseminen on työlästä. Auditing-työkalut muuttavat nämä viestit luettavaan muotoon.

* ausearch (Audit Search): Käytetään audit-lokitiedostojen selaamiseen ja suodattamiseen tiettyjen kriteerien perusteella, kuten SELinuxin kieltämien tapahtumien löytämiseen.

Esimerkki: Haetaan kaikki SELinuxin kieltämät tapahtumat:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

* audit2why (Audit to Why): Ottaa raa'an lokiviestin syötteenä ja selittää, miksi SELinux esti kyseisen toiminnon. Tämä työkalu auttaa ymmärtämään, mikä politiikan sääntö (tai sen puute) aiheutti kiellon.

Esimerkki: Koko lokitiedoston viestien muuntaminen selityksiksi:

# cat /var/log/audit/audit.log | audit2why

* audit2allow: Varoituksella käytettävä työkalu, joka ottaa lokiviestin ja generoi uuden SELinux-politiikkasäännön, joka sallisi estetyt toiminnot. Tätä työkalua käytetään yleensä viimeisenä keinona tai kun on täysin varma, että sovelluksen toiminnan salliminen on turvallista. Sitä tulisi käyttää harkiten, jotta turvallisuusjärjestelmän tarkoitus ei vesity.

Esimerkki: Lokitietojen perusteella luodaan uusi politiikkamoduuli sallimaan estetyt toiminnot:

# grep "denied" /var/log/audit/audit.log | audit2allow -M myapp_policy

# semodule -i myapp_policy.pp

==Aiheesta muualla==

@@ Rivi 93: / Rivi 93: @@
 </syntaxhighlight>
 Näin kansion SELinux-tyyppi muutetaan muotoon <tt>httpd_sys_rw_content_t</tt>. Nämä tyypit, kuten muutkin SELinux-asetukset ovat jakelukohtaisia.
+=== Lokien tarkastelu ja vianmääritys ===
+SELinuxin kanssa työskennellessä haastavinta on usein ymmärtää, miksi jokin prosessi tai sovellus estetään ja miten tämä estyminen korjataan (eli miten politiikkaa muokataan).
+==== 1. SELinux-lokien sijainti ====
+SELinux-tapahtumat kirjoitetaan Linuxin audit-järjestelmän kautta.
+* Lokitiedosto: Suurin osa SELinuxin estotapahtumista (AVC-kielto, "Access Vector Cache denied") kirjataan tiedostoon ''/var/log/audit/audit.log''. Vanhemmissa tai muissa jakeluissa lokit voivat löytyä myös tiedostosta'' /var/log/messages'' tai ''/var/log/syslog''.
+* Tärkeä avainsana: Lokiviestejä etsiessä kannattaa suodattaa avainsanalla ''SELINUX_ERR'' tai ''denied''.
+==== 2. Apuohjelmat lokien tulkintaan ====
+Raakojen lokiviestien tulkitseminen on työlästä. Auditing-työkalut muuttavat nämä viestit luettavaan muotoon.
+* ausearch (Audit Search): Käytetään audit-lokitiedostojen selaamiseen ja suodattamiseen tiettyjen kriteerien perusteella, kuten SELinuxin kieltämien tapahtumien löytämiseen.
+Esimerkki: Haetaan kaikki SELinuxin kieltämät tapahtumat:
+ # ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today
+* audit2why (Audit to Why): Ottaa raa'an lokiviestin syötteenä ja selittää, miksi SELinux esti kyseisen toiminnon. Tämä työkalu auttaa ymmärtämään, mikä politiikan sääntö (tai sen puute) aiheutti kiellon.
+Esimerkki: Koko lokitiedoston viestien muuntaminen selityksiksi:
+ # cat /var/log/audit/audit.log | audit2why
+* audit2allow: Varoituksella käytettävä työkalu, joka ottaa lokiviestin ja generoi uuden SELinux-politiikkasäännön, joka sallisi estetyt toiminnot. Tätä työkalua käytetään yleensä viimeisenä keinona tai kun on täysin varma, että sovelluksen toiminnan salliminen on turvallista. Sitä tulisi käyttää harkiten, jotta turvallisuusjärjestelmän tarkoitus ei vesity.
+Esimerkki: Lokitietojen perusteella luodaan uusi politiikkamoduuli sallimaan estetyt toiminnot:
+ # grep "denied" /var/log/audit/audit.log | audit2allow -M myapp_policy
+ # semodule -i myapp_policy.pp
 ==Aiheesta muualla==

Ero sivun ”Security-Enhanced Linux” versioiden välillä

Navigointivalikko

Haku