フォーラム日本Zabbixユーザー会フォーラム

selinux系のログについて

2014/05/22 - 17:02 (木) mosato - 投稿数: 32

いつもお世話になります。

zabbix_Agent 1.8.16
OS CENTOS 6.5(64bit)

一部のホストでzabbix_Agentインストール後、
var/log/messagesにselinux系のログが出力され続けており、
対処方法がわかりません。
(selinuxは無効化しているのですが)

いくつかの違うverのAgentをインストールしましたが、状況変わらずでした。
Agentの動作は問題ないのですが、selinuxを無効化しているにもかかわらず
ログが出力されているのがわかりません。

May 21 03:01:33 hogehoge kernel: type=1400 audit(1400608893.735:1414): avc: denied { read } for pid=19909 comm="zabbix_agentd" name="cmdline" dev=proc ino=15519 scontext=unconfined_u:system_r:zabbix_agent_t:s0 tcontext=system_u:system_r:syslogd_t:s0 tclass=file
May 21 03:01:33 hogehoge kernel: type=1400 audit(1400608893.735:1415): avc: denied { open } for pid=19909 comm="zabbix_agentd" name="cmdline" dev=proc ino=15519 scontext=unconfined_u:system_r:zabbix_agent_t:s0 tcontext=system_u:system_r:syslogd_t:s0 tclass=file
May 21 03:01:33 hogehoge kernel: type=1400 audit(1400608893.738:1416): avc: denied { getattr } for pid=19909 comm="zabbix_agentd" path="/proc/27165/cmdline" dev=proc ino=2131498 scontext=unconfined_u:system_r:zabbix_agent_t:s0 tcontext=system_u:system_r:system_cronjob_t:s0-s0:c0.c1023 tclass=file
May 21 03:01:33 hogehoge kernel: type=1400 audit(1400608893.738:1417): avc: denied { read } for pid=19909 comm="zabbix_agentd" name="cmdline" dev=proc ino=2131498 scontext=unconfined_u:system_r:zabbix_agent_t:s0 tcontext=system_u:system_r:system_cronjob_t:s0-s0:c0.c1023 tclass=file
May 21 03:01:33 hogehoge kernel: type=1400 audit(1400608893.738:1418): avc: denied { open } for pid=19909 comm="zabbix_agentd" name="cmdline" dev=proc ino=2131498 scontext=unconfined_u:system_r:zabbix_agent_t:s0 tcontext=system_u:system_r:system_cronjob_t:s0-s0:c0.c1023 tclass=file

対処法等々、ご存知の方がいらっしゃいましたら、ご教示ください。
よろしくお願いします。

‹ Zabbix2.2で監視可能なVMWareの情報 ネットワークディスカバリを利用したホスト追加について ›

コメント表示オプション

お好みのコメント表示方法を選び「設定の保存」をクリックすると変更が反映されます。
ユーザー TNK の写真
2014/05/22 - 17:23 (木)
TNK - 投稿数: 4768

SELinuxの無効化とは何をどう設定されたのですか?
もしかして、SELinuxのモードをPermissiveに設定されたのでは
ありませんか?

そうであるならば、SELinuxでのチェックのみ行い制限を許可す
るモードですので、SELinuxのポリシーにひっかかる処理のログ
は出力され続けると思います。

とりあえず、SELinuxを完全に無効化してしまうのであれば、
/etc/selinux/config内で、

 SELINUX=disabled

と設定して、OSの再起動を行ってください。
EnforcingとPermissive間は、オンラインでも変更できますが、
Disabledにして反映させるためには、OSの再起動が必要です。

ユーザー mosato の写真
2014/05/22 - 18:01 (木)
mosato - 投稿数: 32

TNKさま

ご返信ありがとうございます。

SELINUX=disabled

上記の設定及び、OSの再起動も実施済みですが、
ログが出力され続けている状況です。

server側との疎通、動作には問題ないのですが、
ログが出ているのが謎でして、困っておりました。

ユーザー TNK の写真
2014/05/22 - 18:03 (木)
TNK - 投稿数: 4768

rootで、

 # getenforce

と実行するとどのような出力がでますか? (#はコマンドプロンプト)

ユーザー mosato の写真
2014/05/22 - 18:11 (木)
mosato - 投稿数: 32

# getenforce
Permissive

しっかり無効化されております。
謎です・・。

less /etc/sysconfig/selinux

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
#SELINUX=enforcing
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

ユーザー TNK の写真
2014/05/22 - 18:31 (木)
TNK - 投稿数: 4768

getenforceを実行して「Permissive」になっているということは、
完全に無効化されていないということです。
完全に無効化されていれば、「Disabled」と出力されます。

カーネルの起動オプションで、SELinuxのモードを設定したりして
いませんか?
/boot/grub/grub.conf内で、kernelの引数で、

 selinux=0

などと設定していないかご確認ください。
もしくは、/etc/sysconfig/selinuxのSELINUXの行に、何らかの
余計な文字(全角空白とか)が含まれていないかもご確認ください。

ユーザー mosato の写真
2014/05/22 - 18:55 (木)
mosato - 投稿数: 32

上記確認させていただきます。

追記
/etc/sysconfig/selinuxの設定だけでは何度再起動しても
強制的にPermissiveになっておりました。
カーネルのブートオプションに追加することでDisabledに設定できました。

ありがとうございます。

ユーザー fripper の写真
2014/05/23 - 03:15 (金)
fripper - 投稿数: 495

/etc/sysconfig/selinux
/etc/selinux/config

SELinux はあまり詳しくないのですが、これら2ファイルが存在しているのではないでしょうか
CentOS6系とのことなので、通常は前者を編集(SELINUX=disabled)するだけで
無効化される気がするのですが‥
導入しているパッケージ構成・インストール時の設定値などによって、前者・後者ともに
編集する必要があるのかもしれません

また、grub.conf 内のカーネルパラメータ設定で
「enforcing=0」と書くと、Permissiveモードで起動、ロギングモードになる
「selinux=0」と書いた場合は無効化‥らしいです

gruib.conf 側は、無指定ならば、特に動作に影響を与えないはずなので、「無効化」
‥というよりは「/etc以下のselinux設定ファイルに従う」という意味合いになるのではないかと‥

#既に解決されているようですが、今後、このトピックを検索で見つけた方へ‥という意味も込めて

ユーザー fripper の写真
2014/05/26 - 10:25 (月)
fripper - 投稿数: 495

手元の機器で確認してみました
CentOS6.3/6.5 双方、インストール直後状態で

root # ls -li /etc/selinux/config
1966626 -rw-r--r--. 1 root root 457 7月 10 10:50 2013 /etc/selinux/config
root # ls -li /etc/sysconfig/selinux
1966627 lrwxrwxrwx. 1 root root 17 7月 10 10:40 2013 /etc/sysconfig/selinux -> ../selinux/config

と、後者は前者へのシンボリックリンクになっているのが、通常状態のようです
設定ファイル編集時に、mv や cp 等で参照関係を書き換えてしまい、
個々に物理ファイルが存在しており、内容が矛盾している状態になってしまったのではないでしょうか?

#zabbix とは関係なくなってしまいましたが‥申し訳ありません

mosatoさんについて

ユーザー mosato の写真

アカウント名
mosato

新しいフォーラムトピック

続き

活発なフォーラムトピック

続き

ユーザーログイン

Twitter

ZabbixオフィシャルTwitter (日本語)