RHEL6: Selinux não está registrando mensagens de negação do AVC

1

Estou tentando configurar um conjunto de regras de bloqueio. Minha abordagem é começar com um usuário restrito e usar audit2allow messages para seletivas adicionar permissões. Meu problema é que não vejo as mensagens de negação esperadas em /var/log/audit/audit.log .

Para o meu teste, estou logado na caixa via SSH como um usuário restrito. Eu tento cat /etc/init.d/sshd . Com a aplicação do SELinux, vejo um erro "permissão negada" no shell. Com o SELinux no modo permissivo, posso rodar o gato sem problemas. Mas em ambos os casos, não vejo mensagens de negação no log.

Atualização: vejo mensagens negadas ao tentar mount uma partição, mas ainda não por cat .

    
por lairtech 10.10.2013 / 18:40

3 respostas

4

Experimente ausearch -ts today -m avc -m user_avc -m selinux_err e veja o que surge.

Você possivelmente está sofrendo uma violação de restrição ou uma geração de contexto inválida. selinux_err vai pegá-los.

Além disso, algumas mensagens (em particular, gerenciadores de objeto do espaço do usuário) podem ser registradas apenas no dmesg. Então tente olhar lá também.

    
por 10.10.2013 / 19:43
3

Parece que a política padrão do selinux tem algumas regras de auditoria, que estavam capturando este caso. Uma vez que eu desabilitei não audito, vejo o comportamento esperado.

semodule --disable_dontaudit --build
    
por 11.10.2013 / 01:53
0

Caso de borda - se você rm /var/log/audit/audit.log , auditd não é inteligente o suficiente para criar um novo arquivo. Se você touch /var/log/audit/audit.log , auditd não é inteligente o suficiente para gravar no novo arquivo que você acabou de criar. Você precisa reiniciar o serviço auditd para que seu log volte a funcionar.

    
por 01.07.2016 / 05:24