SELinux - создание правила на основе записи в логе | Professional IT Solutions - IT аутсорсинг
Профессиональные IT решения для Вашего бизнеса
(499)704-25-26
/\\/
Linux -> SELinux - создание правила на основе записи в логе

SELinux - создание правила на основе записи в логе

Создание политики из записей об ограничениях в логах: К примеру появилась запись в /var/log/audit/audit.log:

avc: denied { write } for comm="mknod" dev=tmpfs egid=0 euid=0 exe="/bin/mknod" exit=-13 fsgid=0 fsuid=0 gid=0 items=0 name="/" pid=2766 scontext=user_u:system_r:insmod_t:s0 sgid=0 subj=user_u:system_r:insmod_t:s0 suid=0 tclass=dir tcontext=system_u:object_r:device_t:s0 tty=pts0 uid=0

Выполняем команду переводящую SELinux в состояние Permissive (ничего не запрещает, но логируется как при запрете):

#setenforce 0

Затем надо попытаться сделать еще раз действие, которое ранее SELinux запрещал.
После этого выбираем строки с ошибками и создаем политику:

#grep insmod /var/log/audit/audit.log | audit2allow -M myinsmod
#semodule -i myinsmod.pp
#setenforce 1

audit2allow - создание правил из записей журнала аудита

Рейтинг: 2.7/5 (Голосов: 10)
PITSol© 2010 - 2014. При использовании материалов ссылка на сайт обязательна.
Рейтинг@Mail.ru