튜토리얼을 주의 깊게 읽고 audit2allow
거부된 프로세스에 대한 액세스를 허용하는 방법에 대한 설명을 얻었습니다.
검토 2 튜토리얼 허용
이 내용을 읽어보니 audit2allow
이 도구는 어쨌든 사용할 수 있고 어떤 제한도 없는 것 같습니다.
따라서... audit2allow
이것이 항상 허용된다면 안전한 해결 방법입니다.
옳은?
답변1
따라서...
audit2allow
이것이 항상 허용된다면 안전한 해결 방법입니다.
audit2allow
예아니요"항상 허용됩니다." root
비사용자로 실행 하려고 하면 다음과 같은 일이 발생합니다.
[maulinglawns@centos ~]$ audit2allow -a
Error opening config file (Permission denied)
NOTE - using built-in logs: /var/log/audit/audit.log
Error opening /var/log/audit/audit.log (Permission denied)
SELinux는 때때로 다소 무뚝뚝한 도구일 수 있습니다. audit2allow
기본적으로 SELinux에 의해 차단되지만 시스템 관리자로서 확신하는 특정 명령/프로세스를 허용하는 기본 모듈을 생성하는 데 도움이 되는 방법 으로 생각하십시오.~해야 한다허용된.
로컬 정책 생성은 강제 모드에서 SELinux와 함께 RHEL/CentOS를 실행하는 거의 모든 GNU/Linux 서버에서 수행하는 작업입니다(프로덕션 환경에 있는 경우 그래야 함). 이상".
그러나 항상 그렇듯, 맹목적으로 로컬 정책을 생성하지 마십시오. 생성 중인 정책이 다음 상황을 허용하지 않는지 확인해야 합니다.적절하게SELinux에 의해 차단되었습니다.
또한 고려실런트는 현재 로그에서 사람이 읽을 수 있는 출력을 생성하는 데 가장 적합한 도구라고 생각합니다 audit
. 정책을 생성하는 방법에 대한 명확한 지침이 있어야 합니다.