SELinux - 使用audit2allow 的解决方法?

SELinux - 使用audit2allow 的解决方法?

我仔细阅读了教程并获得了使用说明audit2allow允许访问被拒绝进程的解释。 审核2允许教程

读完之后,audit2allow似乎这个工具无论如何都可以使用,我看不到有任何限制。

所以...如果audit2allow总是允许的话,这是一种安全解决方法。

正确的 ?

答案1

所以...如果audit2allow总是允许的话,这是一种安全解决方法。

audit2allow不是“总是允许”。当您尝试以非root用户身份运行时,会发生以下情况:

[maulinglawns@centos ~]$ audit2allow -a
Error opening config file (Permission denied)
NOTE - using built-in logs: /var/log/audit/audit.log
Error opening /var/log/audit/audit.log (Permission denied)

SELinux 有时可能是一个相当生硬的工具。可以将其视为audit2allow一种帮助您生成本地模块的方法,这些模块将允许默认情况下被 SELinux 阻止的某些命令/进程,但您(作为系统管理员)有信心应该被)允许。

生成本地策略是我在我管理的几乎每台 GNU/Linux 服务器上所做的事情,这些服务器在强制模式下运行带有 SELinux 的 RHEL/CentOS(如果在生产环境中就应该如此),所以这并不是什么“不正常”的事情。

但一如既往,不要盲目制定地方政策;您必须确保您正在创建的策略不允许出现以下情况:适当地被 SELinux 阻止。

还考虑密封剂,在我看来,这是目前从日志生成人类可读输出的最佳工具audit。具有有关如何生成策略的明确说明。

相关内容