selinux开启导致rsyslog无法输出日志到自定义文件的问题

最新推荐文章于 2024-04-10 17:35:40 发布
最新推荐文章于 2024-04-10 17:35:40 发布
阅读量3.5k 收藏 4
点赞数 5
分类专栏: linux 杂碎 文章标签: selinux iptables rsyslogd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mi2006/article/details/90264690
版权

目录

一、故障现象

二、故障原因

三、解决方法

一、故障现象

      在一台centos6上配置了环境,想输出iptables一些感兴趣的记录到log文件里,按照网上的一些教程,打算在数据盘中创建一个目录来存储iptables的日志,并据此配置了iptables,并在 /etc/rsyslog.d/ 中创建了rsyslog的配置文件:

# 配置好iptalbes规则对80端口的新建连接写入日志,并添加日志前缀
# 需按照顺序匹配原则,80端口日志记录要在80端口的accpet规则之前
[root@localhost ~]# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j LOG --log-prefix "##Firewall##"
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited


[root@localhost data]# vi /etc/rsyslog.d/iptables.conf

# 在iptalbes规则中设定日志前缀,并在rsyslog根据关键字筛选日志
# stop 是在rsyslog v5以后启用的新关键字,v5包括以前版本使用"~"符号来结束
:msg, contains, "##Firewall##" /data/log/iptables/iptables.log
& stop

       用service rsyslogd restart重启rsyslogd服务,让配置生效。开始测试,结果发现log文件中什么都没有,根本没有写入日志,很奇怪。

二、故障原因

       经过一顿折腾,终于在 /var/log/message发现蛛丝马迹。

[root@localhost data]# tail -n 100 /var/log/message

****** 以上皆略 ******
localhost rsyslogd-2039: Could not open output file '/data/log/iptables/iptables.log' [try http://www.rsyslog.com/e/2039 ]

       无法打开配置的log文件,仔细查看了目录权限,没有问题。没办法上网搜索,在一个帖子中说关闭selinux即可。这时才想起查看selinux状态,自然是开启了。

[root@localhost data]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 24
Policy from config file:        targeted

     关闭selinux可以解决问题,那么追本溯源一下,为什么selinux导致了这个问题。因为自定义的路径的context不满足rsyslogd的访问权限,所以被selinux禁止访问了。

[root@localhost data]# ls -Z /data/log
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 log

       对比/var/log/,发现所有运行rsyslogd访问的文件或目录的context都拥有var_log_t类型。系统根据规则自动对创建的文件或目录赋予指定的context。如果规则中没有我们自定义的路径,自然也就没办法给予var_log_t类型,rsyslogd就没有权限访问。如下图显示了部分默认拥有var_log_t权限的文件或目录。

[root@localhost data]# semanage fcontext -l | grep :var_log_t
/var/log/.*                                        all files          system_u:object_r:var_log_t:s0
/nsr/logs(/.*)?                                    all files          system_u:object_r:var_log_t:s0
/var/webmin(/.*)?                                  all files          system_u:object_r:var_log_t:s0
/var/log/secure[^/]*                               all files          system_u:object_r:var_log_t:s0
/opt/zimbra/log(/.*)?                              all files          system_u:object_r:var_log_t:s0
/var/log                                           directory          system_u:object_r:var_log_t:s0
/var/log/dmesg                                     regular file       system_u:object_r:var_log_t:s0
/var/log/syslog                                    regular file       system_u:object_r:var_log_t:s0

三、解决方法

        知道了原因,我们只需要给自定义的文件添加到规则中,然后修复文件、目录的context,路径自然就获得了对应的类型,问题解决。

# 根据需要添加自定义的文件或目录
[root@localhost data]# semanage fcontext -a -t var_log_t "/data/log(/.*)?"
[root@localhost data]# semanage fcontext -a -t var_log_t "/data/log/.*"
[root@localhost data]# semanage fcontext -a -t var_log_t -f -d "/data/log"

# 修复目录及其子文件目录的context
[root@localhost data]# restorecon -Rv /data/log

# 重启rsyslogd,此时selinux可以运行rsyslog访问自定义的路径了
[root@localhost data]# service rsyslogd restart

 

 

mi2006
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Rsyslog 不写日志
yangwy012210的博客
01-14 1074
服务器被入侵后 rsyslog就不在写message和secure的日志了; 重启 rsyslog没用 (systemctl restart rsyslog) 需要重启 systemctl restart systemd-journald.service 后在重启rsyslog才可以 centos7 用system-journal,代替了原来的syslog,并由rsyslog负责写入message等日志 ...
Linux 开启system log
LILAIQUN博客
01-13 2251
环境Ubuntu 问题: php内置函数syslog日志输出 1.修改system配置文件 20-ufw.conf 配置的是防火墙log 50-default.conf 则是其他默认的log配置,我的配置如下所示,截出其中一部分 vi /etc/rsyslog.d/50-default.conf mail.* -/var/log/mail....
SELinux简介
最新发布
m0_71897505的博客
04-10 1028
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统(采用MAC机制)。 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。 自主访问控制(Discretionary Access Control,DAC)由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。 强制访问控制(mandatory ac
Linux 大数据项目无法输出日志文件的解决方法
04-17 1146
Hadoop中输出日志信息时,代码没有错误,但是查看不到日志文件导致这种问题出现的原因是:程序在执行时引用了其他的jar包,引用的jar包中可能包含了其他log4j相关的配置文件。由于log4j配置文件的引用存在优先级,因此程序没有使用我们之前更改的log4j.properties文件,而是使用了jar包中的配置文件导致更改没有奏效。 解决办法,在主方法所在的类中,通过加入代码,直接指定使用...
Linux原生日志系统Rsyslog详解
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-25 1万+
一、概述 Rsyslog 是一个 syslogd 的多线程增强版,依然基于Syslog协议(linux6之前默认使用syslog程序,centos6用rsyslog所取代)完成系统日志的处理转发,官方形容它是一个极速(如火箭般快速)的日志处理系统。它提供高性能、极好的安全功能和模块化设计。虽然它基于常规的 syslogd,但 rsyslog 已经演变成了一个强大的工具,可用于: 1)接收来自各种来源的输入 2)转换过滤格式化输出 3)将结果输出到不同的目的地,集成日志分析平台 Rsyslog支持 MySQL
rsyslog 不打印日志到/var/log/messages
trigfj的博客
11-12 2297
rsyslog 不打印日志到/var/log/messages
日志服务器搭建之多服务器日志转发与格式化处理
weixin_33701294的博客
02-17 259
日志服务器搭建是靠linux的rsyslog功能作日志转发和日志收集的 rsyslog是由一台Linux服务器作日志服务器,收集其他服务器即rsyslog客户端转发过来的日志,所以rsyslog既可以作为日志服务器,也可以作为日志客户端去使用 rsyslog配置介绍 rsyslog配置包括/etc/rsyslog.conf文件和/etc/...
selinux开启后shadow文件策略修改限制
02-17
SELinux 开启后,对 Shadow 文件的访问权限将受到限制,Shadow 文件保存着用户的密码信息,是系统安全的关键文件。然而,在 SELinux 开启后,Shadow 文件的策略修改也将面临一定的限制。 SELinux 策略修改限制 ...
linux中关于ftp查看不到文件列表的问题详解
09-15
当遇到FTP查看不到文件列表的问题时,首先要考虑的是SELinux的上下文设置。在上述问题中,关闭SELinux后,FTP客户端能够正常显示文件列表,这表明SELinux的某些策略限制了FTP服务的权限。要解决这个问题,我们可以...
rsyslog不记日志分析(1).docx
10-23
在进行分析时,可能还需要考虑其他因素,如logrotate的设置,它可能会导致日志文件的重命名或压缩,从而使rsyslog找不到目标文件。另外,检查系统和服务的更新历史,看是否有与日志系统相关的更新或变更,也可能有助...
Linux系统日志文件的打印与存储
02-24
理解日志文件的位置、如何查看和管理日志,以及利用syslog服务和自定义工具,能帮助我们更好地监控系统状态,及时发现和解决问题。对于开发者来说,编写高效且安全的日志处理代码也是提高软件质量的重要一环。
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它,如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块,则该模块将无法工作,例如...
rsyslog输出自定义格式日志
thinker
08-06 2651
参考 http://www.rsyslog.com https://www.rsyslog.com/doc/v8-stable/configuration/templates.html 一.安装 yum install -y rsyslog 二.发送端LOG的机器配置 记录到本地文件 $template rsys_alert,"iCatch|%PRI%|%timereported:::date-rfc3339%|%msg%\n" local1.* ...
RSYSLOG服务实时传输日志配置
weixin_34234823的博客
08-15 499
RSYSLOG服务实时传输日志配置 一个项目中涉及到rsyslog的使用,配置。 简单介绍一下,就是读取本地一个文件,通过rsyslog实时传输到远端的服务器,然后使用rsyslog.receiver.php分拣处理。 看中的rsyslog自带完善的实传机制,可靠性还是不错,不过想要用的好还需要对各个瓶颈环节清楚才行。客户端$ModLoad immark ...
记一次rsyslog的转发问题
l1161558158的博客
06-09 888
rsyslog是可以配置tcp的转发模式的,使用两个@符号作为标记,一个的话就是udp模式 在/etc/rsyslog.conf中发现配置了三条转发规则 *.* @@aaa:514 *.* @@bbb:514 *.* @ccc:514 其中ccc是我们的业务地址,aaa和bbb是服务器管理配置的其他地址 由于aaa和bbb处于阻塞状态(也可能是防火墙拦截了ack).导致日志没有转发到我们...
异常没有输出日志
qq_33626745的博客
10-14 720
其实原因简单,就是没有用日志记录该异常而只是直接抛出 注意到这个问题在使用fastjson时抛出的异常在测试环境的日志文件中没有记载而只在开发环境中的eclipse的后台输出.
journal/rsyslog日志丢失问题解决
legend050709的专栏
12-06 1746
syslog
centos7.2上rsyslog不打印日志问题
weixin_33853827的博客
07-28 1816
近期公司装了一组centos7.2的服务器,运行一段时间后rsyslog不打印日志了。于是进行相关处理,因为以前用的都是centos6.3, 7.2用的比较少,处理效率比较低。先使用systemctl restart rsyslog.service,发现无效,只能打印出Jul2617:26:50AH-HTTP-05rsyslogd:[originsoftware...
Linux下/ar/log目錄下日誌文件功能
weixin_34241036的博客
03-06 422
如果愿意在Linux环境方面花费些时间,首先就应该知道日志文件的所在位置以及它们包含的内容。在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决。 以下介绍的是20个位于/var/log/ 目录之下的日志文件。其中一些只有特定版本采用,如dpkg.log只能在基于Debian的系统中看到。 /var/log/messages —...
怎么从log中查看SELinux权限导致的网络无法使用问题
06-01
要从日志中查看SELinux权限导致的网络无法使用问题,可以按照以下步骤进行操作: 1. 打开终端,以root用户身份登录系统。 2. 使用以下命令查看SELinux日志: ``` grep AVC /var/log/audit/audit.log ``` 这个命令将会输出所有包含 "AVC" 的日志记录,这些记录表示SELinux原子策略的决策。 3. 在输出中查找与网络相关的日志记录。例如,你可以搜索 "network"、"port"、"socket"、"httpd" 或 "ftp" 等关键词,以查找与网络相关的日志记录。 4. 了解SELinux的决策。在日志记录中,你会看到一些以 "AVC" 开头的记录,其中包含了SELinux的决策信息。例如: ``` type=AVC msg=audit(1436929977.620:289): avc: denied { name_connect } for pid=3211 comm="httpd" dest=80 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:http_port_t:s0 tclass=tcp_socket ``` 这条记录表示,一个进程(httpd)尝试连接到端口80,但是由于SELinux的策略,这个连接被拒绝了。在这个例子中,原因是 httpd 进程的安全上下文(scontext)是 "unconfined_u:system_r:httpd_t:s0",而目标端口的安全上下文(tcontext)是 "system_u:object_r:http_port_t:s0"。由于这两个安全上下文不匹配,SELinux拒绝了这个连接。 5. 修改SELinux的策略。如果你在日志中发现了与网络相关的SELinux拒绝记录,那么你需要针对这些记录来修改SELinux的策略。例如,在上面的例子中,你需要将 httpd 进程的安全上下文与目标端口的安全上下文进行匹配。你可以使用 `chcon` 命令来修改文件或目录的安全上下文,使用 `semanage` 命令来修改SELinux策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值