SELinuxを有効にするとlogwatchがMailされない
March 4, 2017 – 2:54 pmSELinuxを「有効」にした状態ではlogwatchがMail送信されなかった。SELinuxを「無効」にすることにより、logwatchをMailで受け取れるようになった。
関連情報を以下にmemo。
昨年の12月、このサーバーのOSをScientific Linux-7.2に更新した。それ以降、本サーバの運用を、Security向上の観点から SELinux「有効」としてきた。よく知られるように、SELinuxを有効にしてサーバを適正に設定するのはかなり難しい。かなりのスキルを必要とする。
SELinuxを「有効」にしたことにより、それまで定期的にMailされていたlogwatchが送信されなくなってしまっていた。なんとか、SELinuxを有効にした条件下でも、logwatchがMailされる設定方法を探ってみたが、残念ながら、その方法を見出すことができなかった。
自宅サーバーを運営するうえで、定期的にlogwatchをチェックし、サーバーが適正な状態にあることを日常的に把握するのは最も重要なことのひとつだ。やむなく、SELinuxを「無効」とした状態でサーバーを運用することにした。
関連事項を以下に記しておいた:
logwatch 送信に際して生じたエラーメッセージ(Mail出力)
Sender: Anacron Subject: Anacron job ‘cron.daily’ on server01.yamasnet.com Message: /etc/cron.daily/0logwatch: Cannot open file /etc/logwatch/conf/services/modprobe.conf: Permission denied
/var/log/audit/audit.log 関連部
SELinux「有効」時のaudit.log
type=AVC msg=audit(1488478741.666:1097576): avc: denied { read } for pid=20691 comm="logwatch" name="modprobe.conf" dev="dm-0" ino=68265342 scontext=system_u:system_r:logwatch_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:modules_conf_t:s0 tclass=file
SELinux「無効」時のaudit.log(Messageは送付されている)
type=AVC msg=audit(1488565382.036:1113622): avc: denied { read } for pid=2537 comm="logwatch" name="modprobe.conf" dev="dm-0" ino=68265342 scontext=system_u:system_r:logwatch_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:modules_conf_t:s0 tclass=file type=AVC msg=audit(1488565382.036:1113622): avc: denied { open } for pid=2537 comm="logwatch" path="/etc/logwatch/conf/services/modprobe.conf" dev="dm-0" ino=68265342 scontext=system_u:system_r:logwatch_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:modules_conf_t:s0 tclass=file type=SYSCALL msg=audit(1488565382.036:1113622): arch=c000003e syscall=2 success=yes exit=3 a0=13f20f0 a1=0 a2=1b6 a3=0 items=0 ppid=2535 pid=2537 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=81478 comm="logwatch" exe="/usr/bin/perl" subj=system_u:system_r:logwatch_t:s0-s0:c0.c1023 key=(null) type=AVC msg=audit(1488565382.036:1113623): avc: denied { ioctl } for pid=2537 comm="logwatch" path="/etc/logwatch/conf/services/modprobe.conf" dev="dm-0" ino=68265342 scontext=system_u:system_r:logwatch_t:s0-s0:c0.c1023 tcontext=unconfined_u:object_r:modules_conf_t:s0 tclass=file