尝试更熟练地使用 SELinux,它看起来像
sealert -l <local-id>
这将是获得有关记录拒绝的帮助的一种特别有用的方法。
据我所知,本地 ID 过去被记录到/var/log/messages。但在 Fedora 23 中,它变成了 的输出journalctl。
journalctl在和的输出中/var/log/audit/audit.log,我都看到类似的消息
type=AVC msg=audit(1450844231.007:161): avc: denied { getattr } for pid=840 comm="nginx" path="/home/web/fallback/index.html" dev="vda1" ino=1448751 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=file permissive=0
不包括本地 ID。本地 ID 必须可以从此信息中推导出来,因为
sealert -a /var/log/audit/audit.log
分析整个日志文件并生成本地 ID。但当我只想获取单个事件的信息时,这种方法既慢又麻烦。
有没有简单的方法可以在 Fedora 23 下找到已记录拒绝的本地 ID,或者有同样简单的方法来获取特定日志项的 sealert 消息,而audit.log无需分析整个文件并浏览长输出?
非常感谢。