SELinux-problemen troubleshooten

Fedora en Red Hat Enterprise Linux configureren standaard SELinux, dat je Linux-installatie heel goed beschermt. Er komt echter altijd een moment dat je zelf moet ingrijpen omdat een programma per abuis door SELinux geblokkeerd wordt. De SELinux Troubleshooter is daarbij heel behulpzaam.

SELinux heeft dan blijkbaar de toegang tot dat bestand geblokkeerd, maar waarom? Is het een aanval of een verkeerd geconfigureerde SELinux-policy? Het programma SELinux Troubleshooter (setroubleshoot) helpt de gebruiker bij het beantwoorden van deze vragen. Het bekijkt de audit-logbestanden voor AVC-boodschappen (Access Vector Cache), zoekt in een databank naar een match en toont de gebruiker dan een beschrijving van het probleem en stelt een oplossing voor.

Multiple choice

SELinux Troubleshooter heeft in Fedora 15 overigens een redesign gekregen waardoor je niet meer slechts één mogelijke oplossing krijgt voor een probleem maar alle mogelijke oplossingen. Als Samba bijvoorbeeld een bestand probeert te lezen waar het geen toegang tot heeft, dan zegt de SELinux Troubleshooter nu dat je het bestand kunt labelen als samba_share_t, dat je SELinux kunt instellen zodat Samba dit bestand als alleen-lezen of als lezen/schrijven kan delen of dat het een bug of aanval is omdat Samba echt geen toegang tot dit bestand mag hebben.

Je kunt verder nog een aantal instellingen van SELinux Troubleshooter aanpassen in het bestand /etc/setroubleshoot/setroubleshoot.cfg. Zo kun je de daemon configureren om een e-mail naar je te sturen met elke AVC-boodschap, zodat je ook je servers in het oog kunt houden zonder grafische interface. Het configuratiebestand is uitstekend gedocumenteerd met commentaarregels, dus bekijk gerust eens de mogelijkheden.

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.