目录

一、故障现象

二、故障原因

三、解决方法


一、故障现象

      在一台centos6上配置了环境,想输出iptables一些感兴趣的记录到log文件里,按照网上的一些教程,打算在数据盘中创建一个目录来存储iptables的日志,并据此配置了iptables,并在 /etc/rsyslog.d/ 中创建了rsyslog的配置文件:

# 配置好iptalbes规则对80端口的新建连接写入日志,并添加日志前缀
# 需按照顺序匹配原则,80端口日志记录要在80端口的accpet规则之前
[root@localhost ~]# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j LOG --log-prefix "##Firewall##"
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited


[root@localhost data]# vi /etc/rsyslog.d/iptables.conf

# 在iptalbes规则中设定日志前缀,并在rsyslog根据关键字筛选日志
# stop 是在rsyslog v5以后启用的新关键字,v5包括以前版本使用"~"符号来结束
:msg, contains, "##Firewall##" /data/log/iptables/iptables.log
& stop

       用service rsyslogd restart重启rsyslogd服务,让配置生效。开始测试,结果发现log文件中什么都没有,根本没有写入日志,很奇怪。

二、故障原因

       经过一顿折腾,终于在 /var/log/message发现蛛丝马迹。

[root@localhost data]# tail -n 100 /var/log/message

****** 以上皆略 ******
localhost rsyslogd-2039: Could not open output file '/data/log/iptables/iptables.log' [try http://www.rsyslog.com/e/2039 ]

       无法打开配置的log文件,仔细查看了目录权限,没有问题。没办法上网搜索,在一个帖子中说关闭selinux即可。这时才想起查看selinux状态,自然是开启了。

[root@localhost data]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 24
Policy from config file:        targeted

     关闭selinux可以解决问题,那么追本溯源一下,为什么selinux导致了这个问题。因为自定义的路径的context不满足rsyslogd的访问权限,所以被selinux禁止访问了。

[root@localhost data]# ls -Z /data/log
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 log

       对比/var/log/,发现所有运行rsyslogd访问的文件或目录的context都拥有var_log_t类型。系统根据规则自动对创建的文件或目录赋予指定的context。如果规则中没有我们自定义的路径,自然也就没办法给予var_log_t类型,rsyslogd就没有权限访问。如下图显示了部分默认拥有var_log_t权限的文件或目录。

[root@localhost data]# semanage fcontext -l | grep :var_log_t
/var/log/.*                                        all files          system_u:object_r:var_log_t:s0
/nsr/logs(/.*)?                                    all files          system_u:object_r:var_log_t:s0
/var/webmin(/.*)?                                  all files          system_u:object_r:var_log_t:s0
/var/log/secure[^/]*                               all files          system_u:object_r:var_log_t:s0
/opt/zimbra/log(/.*)?                              all files          system_u:object_r:var_log_t:s0
/var/log                                           directory          system_u:object_r:var_log_t:s0
/var/log/dmesg                                     regular file       system_u:object_r:var_log_t:s0
/var/log/syslog                                    regular file       system_u:object_r:var_log_t:s0

三、解决方法

        知道了原因,我们只需要给自定义的文件添加到规则中,然后修复文件、目录的context,路径自然就获得了对应的类型,问题解决。

# 根据需要添加自定义的文件或目录
[root@localhost data]# semanage fcontext -a -t var_log_t "/data/log(/.*)?"
[root@localhost data]# semanage fcontext -a -t var_log_t "/data/log/.*"
[root@localhost data]# semanage fcontext -a -t var_log_t -f -d "/data/log"

# 修复目录及其子文件目录的context
[root@localhost data]# restorecon -Rv /data/log

# 重启rsyslogd,此时selinux可以运行rsyslog访问自定义的路径了
[root@localhost data]# service rsyslogd restart