Fumihiko Shiroyama
shiro****@soba-*****
2009年 8月 21日 (金) 17:03:18 JST
初めまして、本日よりメーリングリストに参加させていただきました白山と申し
ます。どうか宜しくお願いいたします。
本日は、SELinuxのログをより詳細に出力する方法について質問させていただき
たく、メールを送らせていただきます。
現在、
・CentOS5.3 Linux
・SELinuxのTargetdポリシーが有効
・auditdが動いており、/var/log/audit/audit.logにSELinuxのログが一手に吐
き出される状態
で運用しております。
この程、この環境でRuby on Rails(+Fast CGI)を動かすべく環境を整えました。
現在、
# setenforce 0 #Permissive
で、Ruby on Railsの全てのプログラムが正常に動作する状態です。
この状態でsetenforce 1としてSELinuxを有効にしたところ、プログラムは動作
しなくなり、audit.logにも多数の avc: denied {read} 等が出ておりましたの
で、SELinuxのaudit2allowツールを使って以下のようにしました。
# audit2allow -M rubyonrails -i /var/log/audit/audit.log
# semodule -i rubyonrails.pp
何度かaudit2allowとaudit.logを交互に眺めながらトライアンドエラーしている
内に、audit.logには一切 "avc denied" 等の文言が出なくなり、これで許可し
きったかと思ったのですが、相変わらずRuby on Railsプログラムは動作せず、
試しにその状態でもう一度SELinuxをPermissiveモードにしてみるときちんと動
作します。
これまで、audit.logを一行一行眺めながら、全ての deny を取り去ってSELinux
がきちんと動作しなかった経験がなかったので狼狽してしまいました。
ログにこれ以上何も出なくなってしまったので、現在は問題解決の取っ掛かりを
失ってしまったような状態です。
とりあえず安直に「もっと詳細なログを出すことが出来れば何か分かるのではな
いか?」と考えて表題の通りなご質問になった次第です。
どのようなアドバイスでも感謝いたします。どうぞ宜しくお願い申し上げます。
追記:
Ruby on Railsを構成する環境は以下の通り、RPMで導入したものとソースからビ
ルドしたものが混在しております。自分でビルドしたバイナリや、それを元に自
作したRPMからインストールした場合にどのようなドメインやタイプが割り当て
られるのか無知であるため、情報として追記させていただきました。
・httpd-2.2.3-22.el5.centos.2 (公式リポジトリのRPM)
・ruby 1.8.6 (ソースから自作したRPM)
・rubygems 1.3.5 (ソースから自作したRPM)
・fastcgi 2.4.0 (ソースから自作したRPM)
・mod_fastcgi 2.4.6 (ソースから自作したRPM)
・rails 2.0.2 (gem installコマンドにてインストール)
以上、長文失礼いたしました。
--
┏ ─────────────────────── ┓
白山文彦 shiro****@soba-*****
株式会社SOBAプロジェクト 開発部
tel 075-323-6066 fax 075-323-6067
http://www.soba-project.com/
┗ ─────────────────────── ┛