SELinux (Security Enhanced Linux) bietet obligatorische Zugriffskontrolle auf das Linux-Betriebssystem. SELinux ist ziemlich allgegenwärtig, wenn auch nur im PERMISSIVE-Modus. Dadurch können latente Fehler in Nicht-SELinux-Komponenten aufgedeckt werden, die nur sichtbar sind, wenn SELinux ausgeführt wird. Frustrierte Benutzer haben den Eindruck entwickelt, dass SELinux schwierig zu verwenden ist.
Der Service setroubleshoot soll SELinux benutzerfreundlicher machen. Es sammelt SELinux-Audit-Ereignisse vom Kernel und führt eine Reihe von Analyse-Plug-Ins aus, um eine von SELinux erkannte Zugriffsverletzung zu untersuchen. Es zeichnet dann die Ergebnisse der Analyse auf und signalisiert allen Clients, die Benachrichtigungen über diese Ereignisse angefordert haben. Ein Tool, das davon Gebrauch macht, ist der Sealert Tool, das Desktop-Benachrichtigungen ähnlich wie E-Mail-Biff-Benachrichtigungen anzeigt.
SELinux muss aktiviert sein, um diesen Dienst auszuführen. Dies ist ein Dienst zum Ausführen des Daemons /usr/sbin/selinuxenabled Werkzeug. Verwenden Sie den Befehl belo, um setroubleshoot zu installieren.
# yum install setroubleshoot
Dienststeuerung
So starten oder stoppen Sie diesen Dienst:
# service setroubleshoot start|stop
Ausgabe von „chkconfig –list setroubleshoot“:
# chkconfig --list setroubleshoot setroubleshoot 0:off 1:off 2:off 3:on 4:on 5:on 6:off
Beispiele für alle Verwendungsmöglichkeiten:
# /etc/init.d/setroubleshoot
{start|stop|status|restart|condrestart|reload|cleardb} Die cleardb Option ist einzigartig für diesen Dienst. Dadurch wird die aktuelle Benachrichtigungsdatenbankdatei unter /var/lib/setroubleshoot/database.xml gelöscht und löscht effektiv das Ereignisprotokoll.
Konfiguration
Der Setroubleshoot-Dienst wird von /etc/setroubleshoot/setroubleshoot.cfg gesteuert Konfigurationsdatei. Die meisten Installationen können dies standardmäßig belassen, möchten es aber möglicherweise auf zusätzliche Funktionen überprüfen, z. B. die Möglichkeit, E-Mail-Nachrichten für jede Zugriffsverweigerung zu senden. Der Name der Konfigurationsdatei ist /etc/setroubleshoot/setroubleshoot.conf in CentOS/RHEL 7.