井上

2005・10・26

SELinuxの洗礼

SELinuxは、ぼくの生活にはしばらく関係無いものだと油断していました。

こんな症状でした。

ソケットへの接続でpermissionエラーらしきものがでます。ぼくの知識には無い世界でした。

結局、SELinuxの次のアクセス制御が効いていました。
/selinux/booleans/httpd_can_network_connect

/var/log/messagesファイルを見ると、ヒントはちゃんとでていましたが、長年のapacheの経験で、「apacheの問題はapacheのログを見る」と思い込んでいて気づきませんでした。

/var/log/messagesファイルから抜粋
> 伏字 : avc: denied { name_connect } for pid=9034 comm="httpd" dest=8009 scontext=root:system_r:httpd_t tcontext=system_u:object_r:port_t tclass=tcp_socket


SELinux関連の情報をWebで探して見てみました。みんな楽しそうです。sendmail.cfを書くぐらい楽しそうです。とりあえず、psコマンドとlsコマンドの-Zオプションだけは覚えました。

今日の教訓:
独自のログファイルを持っているソフトでも、/var/log/の下のファイルもチェックすべし。
2005 10 26 01:37 - inoue - トラックバック(DISALLOWED (TrackBack))