Eu tenho uma suspeita de que tem algo a ver comigo no meu rsyslog.conf, mas eu não tenho 100% de certeza sobre isso.
Estou executando o Centos 7 e o SELinux está trabalhando com o A-OK. No entanto, eu tentei seguir estas instruções e o SELinux não negou.
Eu fiz o seguinte:
useradd fnord
echo "fnord:user_u:s0-s0:c0.c1023" >> /etc/selinux/targeted/seusers
setsebool user_exec_content off
sudo su - fnord
cp /bin/ls /tmp
/tmp/ls
O comando /tmp/ls funcionou bem. Eu tentei com e sem o -P bandeira, mas não faz qualquer diferença.
Estou tentando acionar alguma mensagem de log do SELinux, porque /var/audit/audit.log está vazio, não importa o que eu faça. Eu sei que o SELinux está reforçando as coisas, porque o rsyslog é configurado para enviar certos logs para /company/var/log/ , mas esses logs não são gravados. Se eu mudar o SELinux para permissivo ao invés de forçar, eles são escritos. Mas nada grava mais em /var/audit/audit.log . Definitivamente usou - eu tenho audit.log.1 e outros arquivos rolados.
Eu pensei inicialmente que ele poderia ter sido /etc/rsyslog.d/listen.conf , eu tinha alterado o conteúdo de $SystemLogSocketName /run/systemd/journal/syslog para $SystemLogSocketName /dev/log , mas eu mudei de volta e reiniciei o rsyslog. E ainda nada aparece em audit.log .
Como posso descobrir por que isso não está correto?
Por acaso, kauditd ! = auditd e auditd é o serviço que o SELinux usa para fazer o login.
Quando systemctl start auditd falhar, você poderá procurar em /var/log/messages . No meu caso, descobri que /var/log/audit/audit.log (um arquivo que eu removi e touch ed) precisa ter 0600 de permissões (acho que ele disse 0640 também estava OK).
Fazendo isso:
# chmod 600 /var/log/audit/audit.log
# systemctl start auditd
Registro ativado novamente