seboolをチェックするようにしよう

最近、SELinuxがらみでひっかかることが多かった。 （まぁ、多いのは今も変わらんのですが。。。） 「selinuxをoffにしたら動きました」ってのはよく情報として手に入るんだが、 せっかく、エライ人たちが用意してくれたもんだし使いこなせるようになろうと努力はしています。 何となくトラブルシュートの手順が見えてきた。

1. とりあえず、setenforceでPermissiveモードにして動きを確認
2. selinuxではない部分の設定apacheならhttp.confとか
3. ２で問題がなければこれでsetenforceを実行すれば動くはず
4. ここまで来てPermissionDenyとかって怒られるようなら、とうとうSELinuxが当たりっぽくなってくる
5. とりあえず、ざっくりaudit2allow -d -lで何か足りないポリシーが無いかチェックする
6. 関連のファイルのタイプをチェックする。おかしかったらchconで修正
7. これでも動かないならaudit.logを確認する（SELinuxがらみならそれっぽいメッセージがあるはず）
8. それっぽいメッセージに関連するsebool値を確認するgetsebool |grep hoge
9. ずらずら出てくるパラメータからそれっぽいものをチェックしてonにしてみる

最近はこんな感じかなぁ～