Is something off in my selinux config that I'm not seeing?
O que você nos mostra de você A configuração do SELinux parece 'normal', mas isso não quer dizer que não precise ser ajustado para atender a sua carga de trabalho específica.
O que eu faria aqui é colocar o SELinux no modo permissivo ( setenforce 0
) e fazer com que o auditd inicie um novo arquivo de log ( kill -USR1
< PID de auditoria & gt ;. Então, realize seu negócio normal. O SELinux gerará mensagens para análise posterior.
Quando você executa o modo permissivo por "algum tempo", pode usar as ferramentas padrão para investigar as mensagens do SELinux.
O utilitário audit2why
pode esclarecer as mensagens registradas e também dar conselhos sobre o que fazer, por exemplo, sobre o snippet que você publicou.
avc: denied { module_request } for pid=3852 comm=httpd kmod="net-pf-10" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:kernel_t:s0 tclass=system
Was caused by:
The boolean domain_kernel_load_modules was set incorrectly.
Description:
Allow all domains to have the kernel load modules
Allow access by executing:
# setsebool -P domain_kernel_load_modules 1
Como você está executando atualmente no modo Imposição, somente a primeira negação é registrada, se você tivesse que consertar e provavelmente descobriria mais, por isso você deve executar temporariamente no modo Permissivo, todas as negações são registradas.
Às vezes, audit2why
não é muito útil. Nesses casos, uma compreensão mais profunda do SELinux pode ser útil. Por exemplo, você pode executar o log de auditoria em audit2allow
e gerar uma política local que pode ser aplicada com semodule
. Isso deve ser cuidadosamente auditado, pois você pode dar mais do que o necessário.