Início / unix / Perguntas / 456429
Accepted
Qwertie
Asked: 2018-07-16 05:18:07 +0800 CST

Enviar e-mail sobre violação do SELinux

  • 772

Na minha área de trabalho, recebo uma notificação do GNOME quando ocorre uma violação do SELinux, o que simplifica a depuração, mas para servidores não tenho isso. Existe alguma maneira de configurar o SELinux para que, quando houver uma violação, ele me envie um e-mail com os detalhes?

NOTA: Eu tenho alguns (2) servidores nos quais gostaria de implantar isso

fedora email

2 respostas

  1. Best Answer

    Com base em um dos comentários sobresetroubleshoot você pode instalar este pacote extra assim:

    $ sudo yum install -y setroubleshoot

    Uma vez instalado, dê uma olhada em seu arquivo de configuração, especificamente nesta seção:

    [email]
# recipients_filepath: Path name of file with email recipients. One address
# per line, optionally followed by enable flag. Comment character is #.
recipients_filepath = /var/lib/setroubleshoot/email_alert_recipients

    Agora vá em frente e crie esse arquivo referenciado:

    $ echo "[email protected]" > /var/lib/setroubleshoot/email_alert_recipients

    Em seguida, reinicie/inicie o serviço:

    $ sudo systemctl start setroubleshoot

    Opções avançadas

    setroubleshoottambém oferece a capacidade de filtrar os alertas SE por meio do arquivo email_alert_recipients:

    [email protected]                       filter_type=after_first

    Esses filtros são um pouco difíceis de entender nos documentos , mas são os seguintes:

    • Ignore After FirstAlerta::

      • Este é o padrão. O endereço receberá um alerta apenas na primeira vez que for acionado. Os alertas de e-mail serão filtrados para o alerta em questão para todos os disparos subsequentes do alerta.

    • Never Ignore::

      • Um alerta de e-mail será enviado para cada instância de cada alerta para este endereço.

    • Ignore Always::

      • Alertas de e-mail nunca serão enviados para este endereço. Pode-se usar isso para desativar temporariamente os alertas para um endereço.

        Mas não tenho uma sessão de desktop no nó para o qual desejo receber alertas de e-mail? Por exemplo, como posso monitorar um servidor?

        Você pode editar diretamente o arquivo /var/lib/setroubleshoot/email_alert_recipients. Este é o arquivo que a GUI acima está modificando. O formato do arquivo é baseado em linha, o caractere hash (#) é o caractere de comentário, o comentário se estende até o final da linha, as linhas em branco são ignoradas.

    • NOTA: Os endereços são um por linha, opcionalmente após o endereço (separados por espaço em branco) são opções no formulário nome=valor. Atualmente existe apenas uma opção:

      • filter_type:: after_first, never, oualways

    Eu editei fortemente o trecho acima, mas tentei manter o "espírito" desta seção do FAQ.

    Referências

    • 3

  2. Para alguns servidores, uma maneira melhor de ter alertas é usando o logcheckpacote.

    Você instala logcheckno lado do servidor e define regras para processar e enviar emails sobre as regras pretendidas que você deseja acionar emails.

    Dessa forma, se amanhã você precisar de outras regras que não sejam SELinux, você pode adicioná-las.

    logcheckjá vem com um conjunto padrão de regras. Usei logcheckpor um tempo quando tinha uma infra-estrutura menor de alguns servidores Linux no passado.

    Obviamente, para enviar e-mail, você também precisa ter um lado do servidor MTA com um mínimo de configuração para poder enviar e-mail. Dependendo se o e-mail é interno ou do Gmail, você terá que configurá-lo de forma diferente.

    Para uma infra-estrutura maior eu aconselharia ter um servidor syslog central, e manipular os logs nesse servidor, porém a partir de sua resposta de 2 servidores não vou elaborar mais este ponto.

    • 0

relate perguntas