SELinuxが有効になっているかどうかを確認するには、「sestatus」コマンドを入力します。 ds_agentを有効にしてブロックするようにSELinuxポリシーが設定されている場合、次のアラートサンプルがシステムログまたはSELinuxログ
(
/var/log/audit/audit.logまたは/var/log/audit.log ):[TIMESTAMP] [HOSTNAME] python: SELinux is preventing [/PATH/BINARY] from 'read, write' accesses on the file/var/opt/ds_agent/dsa_core/ds_agent.db-shm. ***** Plugin leaks (86.2 confidence) suggests ***************************** If you want to ignore [BINARY] trying to read write access the ds_agent.db-shm file, because you believe it should not need this access. Then you should report this as a bug. You can generate a local policy module to dontaudit this access. Do ausearch -x [/PATH/BINARY] --raw | audit2allow -D -M [POLICYNAME] semodule -i POLICYNAME.pp
この問題を解決するには、Audit2allowを使用してカスタムSELinuxポリシーを作成します。
手順
- rootユーザとしてエージェントに接続します。
- 次のコマンドを実行して、 エージェントファイルへのアクセスを許可するカスタムポリシーを作成します。
cd /tmpgrep ds_agent /var/log/audit/audit\* | audit2allow -M ds_agentsemodule -i ds_agent.pp - ds_agentを再起動します。
- システムメッセージを確認し、ds_agentに関連するアラートがないことを確認します。
cat /var/log/messages | grep ds_agent - アラートが引き続き発生する場合は、手順2のコマンドを再度実行します。これにより、既存のポリシーがアップデートされ、再度適用されます。
次に進む前に
SELinuxポリシーを削除するには、次のコマンドを使用します。
semodule -r ds_agent。