Estou tentando escrever um plug-in audisp em uma VM Linux CentOS 7. Em vez de definir estaticamente as regras de auditoria via /etc/audit/rules.d/, eu queria adicionar regras dinamicamente no plug-in usando interfaces de libaudit (com base em algumas configurações do sistema).
Meu código se parece com o seguinte:
int fd_audit = audit_open(); // this is successful
if (audit_is_enabled(fd_audit) <= 0)
audit_set_enabled(fd_audit, 1); // "Permission denied" error given
}
else {
// set some rules
}
O problema que estou enfrentando é com a função audit_set_enabled (), conforme a permissão é negada, quando o SELinux está impondo. Quando o SELinux é permissivo, audit_set_enabled () retorna um status bem-sucedido, mas a adição da regra de auditoria ainda falha.
Eu tentei procurar por mensagens avc negadas, mas parece que não consigo encontrar nenhuma.
Qualquer ajuda ou conselho é bem-vindo.
Gerenciado para resolver o problema acima desativando as regras "não auditar" com
sudo semodule -DB .
Em seguida, consegui obter logs do AVC e corrigir as regras de sepolicy com audit2allow . Parece que faltavam netlink_audit_socket { read write } direitos de acesso.