5.2. Qué Archivo Log se usa
En Fedora 11, los paquetes setroubleshoot-server y audit se instalan si los paquetes no se eliminan de la selección de paquetes predeterminada. Estos paquetes incluyen a los demonios setroubleshootd y auditd respectivamente. Estos demonios se ejecutan por defecto.
Los mensajes de negación de SELinux, tales como el siguiente, se escriben por defecto en /var/log/audit/audit.log:
type=AVC msg=audit(1223024155.684:49): avc: denied { getattr } for pid=2000 comm="httpd" path="/var/www/html/archivo1" dev=dm-0 ino=399185 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:samba_share_t:s0 tclass=file
También, si setroubleshootd está ejecutándose, lo que es por defecto, los mensajes de negación desde /var/log/audit/audit.log se traducen a una forma más fácil de leer en /var/log/messages:
May 7 18:55:56 localhost setroubleshoot: SELinux is preventing httpd (httpd_t) "getattr" to /var/www/html/archivo1 (samba_share_t). For complete SELinux messages. run sealert -l de7e30d6-5488-466d-a606-92c9f40d316d
Los mensajes de negación se envían a una ubicación distinta, dependiendo de cuáles demonios se están ejecutando:
| Daemon | Log Location |
|---|
| auditd on | /var/log/audit/audit.log |
| auditd off; rsyslogd on | /var/log/messages |
| setroubleshootd, rsyslogd, and auditd on | /var/log/audit/audit.log. Easier-to-read denial messages also sent to /var/log/messages |
Para configurar los demonios auditd, rsyslogd, y setroubleshootd para que inicien automáticamente al arrancar, corra los siguientes comandos como usuario root de Linux:
/sbin/chkconfig --levels 2345 auditd on
/sbin/chkconfig --levels 2345 rsyslog on
/sbin/chkconfig --levels 345 setroubleshoot on
Use el comando service nombre-de-servicio status para chequear si estos servicios se están ejecutando, por ejemplo:
$ /sbin/service auditd status
auditd (pid 1318) is running...
Si los servicos de arriba no se están ejecutando (nombre-de-servicio está detenidoservice nombre-de-servicio start como usuario root de Linux para iniciarlos. Por ejemplo:
# /sbin/service setroubleshoot start
Starting setroubleshootd: [ OK ]
