我仔细阅读了教程并获得了使用说明audit2allow允许访问被拒绝进程的解释。
审核2允许教程
读完之后,audit2allow似乎这个工具无论如何都可以使用,我看不到有任何限制。
所以...如果audit2allow总是允许的话,这是一种安全解决方法。
正确的 ?
答案1
所以...如果
audit2allow总是允许的话,这是一种安全解决方法。
audit2allow是不是“总是允许”。当您尝试以非root用户身份运行时,会发生以下情况:
[maulinglawns@centos ~]$ audit2allow -a
Error opening config file (Permission denied)
NOTE - using built-in logs: /var/log/audit/audit.log
Error opening /var/log/audit/audit.log (Permission denied)
SELinux 有时可能是一个相当生硬的工具。可以将其视为audit2allow一种帮助您生成本地模块的方法,这些模块将允许默认情况下被 SELinux 阻止的某些命令/进程,但您(作为系统管理员)有信心应该被)允许。
生成本地策略是我在我管理的几乎每台 GNU/Linux 服务器上所做的事情,这些服务器在强制模式下运行带有 SELinux 的 RHEL/CentOS(如果在生产环境中就应该如此),所以这并不是什么“不正常”的事情。
但一如既往,不要盲目制定地方政策;您必须确保您正在创建的策略不允许出现以下情况:适当地被 SELinux 阻止。
还考虑密封剂,在我看来,这是目前从日志生成人类可读输出的最佳工具audit。具有有关如何生成策略的明确说明。