맞춤형 systemd 서비스를 위한 SELinux 정책 생성

tag-icon tag-icon linux fedora systemd security selinux
맞춤형 systemd 서비스를 위한 SELinux 정책 생성

내가 사용하고 있는 운영 체제 는 운영 체제 부팅과 동시에 사용자 정의 서비스가 실행되기를 Fedora Workstation 27 Live원합니다 . EnableBIOS.service이렇게 하려면 SELinux내 환경에서 문제를 일으키는 기능을 비활성화해야 했습니다. 따라서 비활성화할 수 없습니다 SELinux.

대안으로 SELinux policy맞춤형 서비스를 위한 서비스를 만들어 보았지만 아무런 진전이 없었습니다.

서비스가 다음 메시지를 기록하고 있습니다 /var/log/audit/audit.log.

type=SERVICE_START msg=audit(1527782475.777:239): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=EnableHBA comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
type=AVC msg=audit(1527782475.779:240): avc:  denied  { execute } for  pid=4223 comm="(leHBA.sh)" name="enableHBA.sh" dev="dm-0" ino=38164 scontext=system_u:system_r:init_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file permissive=0
type=SERVICE_STOP msg=audit(1527782475.782:241): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=EnableHBA comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=failed'

그리고,

[root@localserver]# audit2allow -w -a
type=AVC msg=audit(1527782475.779:240): avc:  denied  { execute } for  pid=4223 comm="(leHBA.sh)" name="enableHBA.sh" dev="dm-0" ino=38164 scontext=system_u:system_r:init_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file permissive=0
        Was caused by:
                Unknown - would be allowed by active policy
                Possible mismatch between this policy and the one under which the audit message was generated.

                Possible mismatch between current in-memory boolean settings vs. permanent ones.

을 생성하기 위해 SELinux policy다음 명령을 실행했습니다.

[root@localserver]# grep enableHBA /var/log/audit/audit.log | audit2allow -M enablehba
[root@localserver]# semodule -i enablehba.pp

이 작업을 수행한 후 서비스를 다시 실행하려고 시도하면 기록된 메시지는 다음과 같습니다.

[root@localserver]# audit2allow -w -a
type=AVC msg=audit(1527782959.912:250): avc:  denied  { read open } for  pid=4612 comm="(leHBA.sh)" path="/root/enableHBA/enableHBA.sh" dev="dm-0" ino=38164 scontext=system_u:system_r:init_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file permissive=0
        Was caused by:
                Missing type enforcement (TE) allow rule.

                You can use audit2allow to generate a loadable module to allow this access.

내가 어디에서 잘못되고 있는지, 내가 원하는 것을 달성할 수 있는 다른 방법이 있는지 알고 싶습니다.

답변1

스크립트를 /usr/local/sbin으로 이동하고 스크립트가 다음과 같이 올바르게 표시되었는지 확인하세요.bin_t

스크립트는 제한 없이 실행되어야 하며 필요한 모든 권한을 가지고 있어야 합니다.

관련 정보