Eu tenho um cron job que está fazendo o backup de um sistema SELinux em execução no modo estrito. O problema é que o SELinux quer negar acesso ao script de backup, já que ele quer acesso a todos os arquivos no sistema de arquivos (e em todos os contextos desses arquivos). Estou correndo no modo permissivo agora, então o script funciona, mas eu gostaria de desativar o modo permissivo.
kernel: [1491196.754521] type=1400 audit(1325232096.275:12572): avc: denied { read open } for pid=24642 comm="xfsdump" name="init.d" dev=dm-1 ino=268794309 scontext=root:sysadm_r:cronjob_t tcontext=system_u:object_r:initrc_state_t tclass=dir
A execução do script como unconfined_t não funciona, pois parece que unconfined_t não é permitido ao executar a diretiva estrita.
O backup está sendo realizado tomando uma captura instantânea LVM da raiz, montando essa captura instantânea e, em seguida, fazendo um xfsdump. Também faz o backup da partição / boot (ext2) em um tarball.
Qual é a maneira correta de executar esse backup?
Existe uma maneira de montar o sistema de arquivos no qual os contextos dos arquivos podem ser armazenados em backup, mas não serão aplicados? Mas também para fins acadêmicos, se eu quiser fazer backup de um sistema em que tal montagem não seja possível (já montada e não é possível remontar), como isso seria realizado?
Existe um módulo de política de backup que pode ser usado para fornecer um backup_t e permitir backups do sistema. Sua parte da tresys refpolicy, link
Após a instalação, basta definir o contexto do arquivo do script de backup como backup_exec_t e ele poderá acessar todo o sistema.
Você precisa ser mais específico e nos dizer qual distro / política você está executando, alguns permitem processos "não confinados" que satisfariam suas necessidades (man runcon), outros não - nesse caso você teria que rotular seu script de backup com um tipo SELinux que permite acesso de leitura a todos os arquivos OU cria uma nova política de aplicação para ele (difícil).
Edit: Suponho que você já tenha lido a entrada de FAQ do SELinux no backup : use star