Dla administratora wiedzieć wcześniej to poważny atut, stąd się też bierze istnienie całego mnóstwa narzędzi wykrywających incydenty w działających systemach. W przypadku stosowania SELinux a w szczególności dozbrajania go własnymi politykami  trafiamy na problem niewystarczająco dobrze opisanych zależności  zabezpieczeń. Efekty widzimy w postać tzw. AVC denials im wcześniej je zlokalizujemy tym lepiej.

Tak więc najprostszym rozwiązaniem jest powiadomienie mejlem o wystąpieniu takiego zdarzenia. Można to osiągnąć na wiele sposobów, od najprymitywniejszych w stylu cron + grep'owanie audit.log'a po te bardziej wyrafinowane w postaci setroubleshoot[1]. Ten ostatni umożliwia w czasie rzeczywistym reagować na wystąpienie AVC i informować o tym m.in. w GUI oraz mejlem. Interesuje nas opcja mejlowa w tym celu wystarczy dopisać do pliku /var/lib/setroubleshoot/email_alert_recipients:

<adres_email_odbiorcy>                       filter_type=after_first

opcja filter_type=after_first oznacza, że zostanie wysłane tylko jedno powiadomienie na wielokrotne powtórzenia. Dodatkowo mejl jest na bardzo ,,informacyjnie'' zredagowany dostarczając sposoby na rozwiązanie problemu. Pozostałe opcje konfiguracyjne na temat wysyłki mejli znaleźć można w /etc/setroubleshoot/setroubleshoot.cfg. Na sam koniec wystarczy już tylko uruchomić usługę setroubleshoot.

[1] https://fedorahosted.org/setroubleshoot/