我在 KVM/QEMU 下运行强化 Gentoo 系统。我是 SELinux 的新手,大量使用 audit2allow 来使系统正常运行。执行此操作时,我会包括并携带磁盘的位置,例如/dev/sdb1或/dev/sdc1- 但存在一个问题,我无法使用虚拟机管理程序进行更改,我无法控制它们在重新启动后被交换。它们是 virtio 磁盘,一个用于/usr,另一个用于/home,当发生这种情况时,audit2allow 的许多策略都会停止工作。
/var/log/audit/audit.log以下是使用sdb/ 的输出示例sdb。
type=AVC msg=audit(1545017678.720:103): avc: denied { getattr } for pid=4496 comm="nginx" path="/var/www/user428/site/index.html" dev="sdc1" ino=1698414 scontext=system_u:system_r:nginx_t tcontext=system_u:object_r:httpd_user_rw_content_t tclass=file permissive=1
我需要以某种方式批量更改我的 SELinux 策略来更改磁盘 ID。如果我能让它在审计日志中通过磁盘的 UUID 来审计磁盘,那就太好了,这样以后的审计就不会再出现这个问题了。我主要阅读了 Gentoo 项目关于 SELinux 的文档。
如果您希望我阅读更多文档,请在评论中告诉我在哪里可以找到它,但我也非常需要快速帮助解决我所遇到的混乱问题。