Por que o meu SELinux não está registrando nada?

2

Eu tenho uma suspeita de que tem algo a ver comigo no meu rsyslog.conf, mas eu não tenho 100% de certeza sobre isso.

Estou executando o Centos 7 e o SELinux está trabalhando com o A-OK. No entanto, eu tentei seguir estas instruções e o SELinux não negou.

Eu fiz o seguinte:

useradd fnord
echo "fnord:user_u:s0-s0:c0.c1023" >> /etc/selinux/targeted/seusers
setsebool user_exec_content off
sudo su - fnord
cp /bin/ls /tmp
/tmp/ls

O comando /tmp/ls funcionou bem. Eu tentei com e sem o -P bandeira, mas não faz qualquer diferença.

Estou tentando acionar alguma mensagem de log do SELinux, porque /var/audit/audit.log está vazio, não importa o que eu faça. Eu sei que o SELinux está reforçando as coisas, porque o rsyslog é configurado para enviar certos logs para /company/var/log/ , mas esses logs não são gravados. Se eu mudar o SELinux para permissivo ao invés de forçar, eles são escritos. Mas nada grava mais em /var/audit/audit.log . Definitivamente usou - eu tenho audit.log.1 e outros arquivos rolados.

Eu pensei inicialmente que ele poderia ter sido /etc/rsyslog.d/listen.conf , eu tinha alterado o conteúdo de $SystemLogSocketName /run/systemd/journal/syslog para $SystemLogSocketName /dev/log , mas eu mudei de volta e reiniciei o rsyslog. E ainda nada aparece em audit.log .

Como posso descobrir por que isso não está correto?

    
por Wayne Werner 04.01.2016 / 18:05

1 resposta

2

Por acaso, kauditd ! = auditd e auditd é o serviço que o SELinux usa para fazer o login.

Quando systemctl start auditd falhar, você poderá procurar em /var/log/messages . No meu caso, descobri que /var/log/audit/audit.log (um arquivo que eu removi e touch ed) precisa ter 0600 de permissões (acho que ele disse 0640 também estava OK).

Fazendo isso:

# chmod 600 /var/log/audit/audit.log
# systemctl start auditd

Registro ativado novamente

    
por 04.01.2016 / 20:53