SELinux/munin動作時、ethtoolのアクセス拒否が記録される

Last-modified: 2011-12-26 (月) 01:24:45

現象
原因
対策
方法
検証時の環境
参考

現象 †

muninがデータを収集するだびに
type=1400 audit(1264464906.031:1291): avc: denied { read write } for pid=29260 comm="ethtool" path="socket:[619649]" dev=sockfs ino=619649 scontext=user_u:system_r:ifconfig_t:s0 tcontext=user_u:system_r:initrc_t:s0 tclass=tcp_socket
というようなログが記録されていました。

↑

原因 †

アクセス権が足りないのが原因です。

↑

対策 †

audit2allowでルールを作成し追加しました。
本質的にはmunin専用ドメインを作成して、必要最小限の権限を与えるのが正しい処置です。
ただ今回は知識不足のためaudit2allowに頼って、とりあえず動くようにしました。

↑

方法 †

ログからポリシーを作成します。

-
|
!
 
-
|
|

# 上のような警告が出力されているログを指定する
# ここでは/var/log/kern/logに出力されているものとする
audit2allow -M mymunin < /var/log/kern/log
 
# mymunin.ppとmymunin.teが出力されていることを確認する
# mymunin.ppがポリシーを追加する際に使用するモジュールファイル
# mymunin.teがプレーンテキスト版のポリシーファイル

mymunin.teを開いて内容を確認します。

module mymunin 1.0;
 
require {
    type ifconfig_t;
    type initrc_t;
    class tcp_socket { read write };
}
 
#============= ifconfig_t ==============
allow ifconfig_t initrc_t:tcp_socket { read write };
 
# 意味は、ifconfig_tドメインに、initrc_tタイプtcp_socketオブジェクトのread/writeを許可する

モジュールを組み込みます。

-
!
 
-
!

# 組み込み
semodule -i mymunin.pp
 
# 確認
semodule -l

次回のmunin動作後にログを見て、エラーが出力されていないこと確認して終了です。

↑

検証時の環境 †

CentOS 5.4 x86
- munin 1.2.6

↑

参考 †

SELinuxシステム管理 ―セキュアOSの基礎と運用