Product SiteDocumentation Site

7.3.2. Возможные причины блокировок без оповещения

В некоторых ситуациях, блокировки AVC могут не журналироваться, когда SELinux блокирует доступ. Приложения и функции системных библиотек часто требуют большего доступа, чем нужно, для выполнения своих задач. Для поддержки минимальных доступов без заполнения журналов аудита, блокировками AVC о безвредных запросах приложений, политика может выполнять блокировки AVC без сообщений, не разрешая доступ, используя правила dontaudit. Эти правила общие в стандартной политике. Плохая сторона dontaudit заключается в том, что, хотя SELinux блокирует доступ, сообщения о блокировке не журналируются, таким образом, делая разбор и устранение ошибок сложным.
Для временного отключения правил dontaudit, позволяющим всем блокировкам журналироваться, выполните следующую команду от имени пользователя root:
/usr/sbin/semodule -DB
Опция -D отключает правила dontaudit; опция -B перестраивает политику. После выполнения команды semodule -DB, попробуйте изучить приложение, встречающее проблемы в разрешениях и просмотрите блокировки SELinux — относящиеся к приложению —, которые теперь содержатся в лог-файлах. Позаботьтесь о принятии решений, какие правила разрешить, а какие проигнорировать через правила dontaudit. Если есть сомнения или требуется совет, свяжитесь с пользователями и разработчиками SELinux: fedora-selinux-list.
Для перестройки политики и включения правил dontaudit, выполните команду от имени пользователя root:
/usr/sbin/semodule -B
Данная команда восстанавливает политику к её исходному состоянию. Для вывода всех правил dontaudit, выполните команду sesearch --dontaudit. Сузить поиск можно с использованием опции -s domain и команды grep. Например:
$ sesearch --dontaudit -s smbd_t | grep squid
WARNING: This policy contained disabled aliases; they have been removed.
dontaudit smbd_t squid_port_t : tcp_socket name_bind ;
dontaudit smbd_t squid_port_t : udp_socket name_bind ;
Информация об анализе блокировок доступна в разделах: Раздел 7.3.6, «Необработанные сообщения аудита» and Раздел 7.3.7, «Сообщения sealert».