我正在尝试配置一组锁定规则。我的方法是从受限用户开始,然后使用audit2allow消息选择性添加权限。我的问题是我没有看到预期的拒绝消息/var/log/audit/audit.log。
为了进行测试,我以受限用户身份通过 SSH 登录到该框。我尝试 cat /etc/init.d/sshd。在 SELinux 强制执行的情况下,我在 shell 中看到“权限被拒绝”错误。在 SELinux 处于宽容模式的情况下,我可以毫无问题地运行 cat 。但无论哪种情况,我都没有在日志中看到拒绝消息。
更新:尝试mount分区时我确实看到了被拒绝的消息,但仍然没有cat。
答案1
看起来默认的 selinux 策略有一些不审计规则,这些规则正在捕获这种情况。一旦我禁用不审计,我就会看到预期的行为。
semodule --disable_dontaudit --build
答案2
尝试一下ausearch -ts today -m avc -m user_avc -m selinux_err,看看会出现什么结果。
您可能遇到了约束违规或无效的上下文生成。selinux_err将会解决这些问题。
还一些消息(特别是用户空间对象管理器)可能只记录到 dmesg 中。因此也尝试在那里查找。
答案3
极端情况 - 如果您rm /var/log/audit/audit.log,auditd 不够智能,无法创建新文件。如果您touch /var/log/audit/audit.log,auditd 不够智能,无法写入您刚刚创建的新文件。您必须重新启动 auditd 服务才能让您的日志记录再次正常工作。