Eu quero que o SELinux permita que o daemon LogRotate gire e comprima os logs de auditoria em /var/log/audit/audit.log, mas ele está sendo bloqueado com esta mensagem de erro aparecendo:
Oct 27 04:06:03 setroubleshoot: SELinux is preventing /usr/sbin/logrotate "read" access on /var/log/audit.
O contexto do diretório / var / log / audit é:
drwxr-x---. root root system_u:object_r:auditd_log_t:s0 audit
Existe um contexto em que posso dar um arquivo ou diretório que fará o SELinux se comportar como se estivesse desligado? Estou nadando em documentação e não vou aprender essa coisa da noite para o dia, então gostaria de implementar um trabalho até que eu possa fazer certo. Qualquer impulso na direção certa é bem-vindo.
Editar : Também estou achando que toda a documentação que estou encontrando não corresponde ao que realmente existe no meu servidor CentOS 6 (ou seja, locais de arquivo e configuração). Alguém mais teve esse problema e não é uma boa fonte de informações "corretas"?
Editar 2 - Eu aceito isso de volta, eles têm instruções sobre como criar políticas em uma seção diferente. link
FINAL EDIT : Então, meu objetivo final era tentar obter uma rotação diária dos registros de auditoria porque tenho um e-mail diário enviado com novos alertas do SELinux, mas continuei recebendo as mesmas mensagens . Então eu tentei criar uma nova regra de logrotate para fazer esses logs, mas o SELinux estava bloqueando isso. Acontece que o auditd tem uma função de rotação interna que pode ser chamada executando /sbin/service auditd rotate , que rotaciona os logs. Eu posso simplesmente definir isso em um cron job diário. Eu ainda acho que a questão do SELinux tem valor, então se alguém quiser responder, pode ajudar os futuros googlers
Tente isto:
semanage fcontext -a -t var_log_t '/var/log/audit(/.*)?'
restorecon -R -v /var/log/audit
Is there a list of available types somewhere?
# seinfo -t | less
How would you know to use the 'var_log_t' type?
# semanage fcontext -l | grep '/var/log'