Estou tentando configurar um conjunto de regras de bloqueio. Minha abordagem é começar com um usuário restrito e usar audit2allow messages para seletivas adicionar permissões. Meu problema é que não vejo as mensagens de negação esperadas em /var/log/audit/audit.log .
Para o meu teste, estou logado na caixa via SSH como um usuário restrito. Eu tento cat /etc/init.d/sshd . Com a aplicação do SELinux, vejo um erro "permissão negada" no shell. Com o SELinux no modo permissivo, posso rodar o gato sem problemas. Mas em ambos os casos, não vejo mensagens de negação no log.
Atualização: vejo mensagens negadas ao tentar mount uma partição, mas ainda não por cat .
Experimente ausearch -ts today -m avc -m user_avc -m selinux_err e veja o que surge.
Você possivelmente está sofrendo uma violação de restrição ou uma geração de contexto inválida. selinux_err vai pegá-los.
Além disso, algumas mensagens (em particular, gerenciadores de objeto do espaço do usuário) podem ser registradas apenas no dmesg. Então tente olhar lá também.
Parece que a política padrão do selinux tem algumas regras de auditoria, que estavam capturando este caso. Uma vez que eu desabilitei não audito, vejo o comportamento esperado.
semodule --disable_dontaudit --build
Caso de borda - se você rm /var/log/audit/audit.log , auditd não é inteligente o suficiente para criar um novo arquivo. Se você touch /var/log/audit/audit.log , auditd não é inteligente o suficiente para gravar no novo arquivo que você acabou de criar. Você precisa reiniciar o serviço auditd para que seu log volte a funcionar.