3.4 SELinuxによって保護されているOS |
お使いのOSが SELinux サブシステムによって保護されている場合、スキャンを開始しようとした際にエラーメッセージが表示されます(または Scanner Daemon の自動開始を試みた場合にも表示される可能性があります)。下の画像はスキャン開始時に Dr.Web Anti-Virus for Linux Control Desk 上に表示されるエラーメッセージの例です。 図 2. Scanner Daemon エラー SELinux によって保護されたOS内での Dr.Web Console Scanner、Dr.Web Daemon、Dr.Web SpIDer Guard コンポーネントの正常な動作を設定するには、それぞれ drweb-scanner、drweb-daemon、drweb-spider モジュールとの動作に対する ポリシーをコンパイルする か、または allow_execheap 変数の値を1に設定する 必要があります。
例:
# policygentool drweb-scanner /opt/drweb/drweb.real
# policygentool drweb-daemon /opt/drweb/drwebd.real
# policygentool drweb-spider /opt/drweb/drweb-spider.real 共通するドメイン特性をいくつか入力するよう促され、各モジュールに対して次の3つのファイルが作成されます。
例: # audit2allow -M -i /var/log/audit/audit.log drweb この例では、audit2allow はaudit.logファイル内でAVCメッセージを検索します。 例: # audit2allow -a -M drweb この例では、audit2allowは自動的にシステムログファイル内でAVCメッセージを検索します。 いずれの場合も、audit2allowは SELinux ポリシーソースファイル(drweb.te)及びコンパイルされたポリシーモジュールdrweb.ppの2つのファイルを作成します。Dr.Web Anti-Virus for Linux コンポーネントのアクセスルールを変更したい場合、drweb.teを編集し、step 2へ進んでください。ポリシーファイルを変更しない場合はstep 4へ進み、drweb.ppポリシーモジュールをインストールして下さい。
例: # checkmodule -M -m -o drweb.mod drweb.te
例: # semodule_package -o drweb.pp -m drweb.mod
例: # semodule -i drweb.pp SELinux での Dr.Web Console Scanner、Dr.Web Daemon、Dr.Web SpIDer Guard の動作を設定するための allow_execheap OS環境変数の値を1に設定することも可能です(推奨しません)。allow_execheap 環境変数は、unconfined ドメインで動作している全てのアプリケーションに対し、ヒープメモリ内のデータ実行を許可または拒否します。allow_execheap変数の値を設定するには以下のコマンドを実行してください。 # setsebool -P allow_execheap=1 |