저는 SELinux가 활성화된 RHEL 컴퓨터를 사용하고 있습니다.
auditd로그 파일 위치 를 으로 변경하고 싶습니다 . 파일에 /mydir/log/audit.log보안 컨텍스트를 적용할 수 있습니다 . system_u:object_r:auditd_log_t:s0그러나 다른 데몬이 읽고 쓸 것이므로 /mydir/log디렉터리와 상위 디렉터리의 보안 컨텍스트는 무엇이어야 합니까 ?/mydir
아니면 가장 간단한 방법으로 해야 할까요?
semanage permissive -a auditd_t
대신에?
답변1
로그 회전이 비활성화되도록 지정하지 않았으므로 auditd가 여러 파일을 생성하도록 허용해야 합니다.
audit더 일반적으로는 감사 로그 가 필요하지 않은 이유를 확신하지 않는 한 전용 디렉터리에 감사 로그를 배치하는 현재 구조를 유지해야 합니다 . 귀하의 버전이 오래되었기 때문에 해당 구조를 사용하지 않는 한? 그러나 적어도 RHEL 6에서는 /var/log/audit/기본적으로 이를 사용합니다.
상위 디렉터리에 대한 이름 변경이나 권한 변경을 허용하지 않으면 auditd_log_t로그 audit.log디렉터리에 대한 제한만 적용됩니다 audit.
위의 내용은 구현하기 쉬운 것 같습니다. "충분히 제한적"이라는 것은 결정의 안전 부분을 다루는 것을 고려할 수 있다는 것을 의미합니다. 테스트해보고 작동하는지 확인하면 작동하지 않는다는 것을 알게 될 것입니다.또한제한적입니다. 귀하가 제공한 정보에 따르면 여기에는 어떤 어려움도 없습니다.
답변2
당신은 명령을 사용하여 대부분의 시간을 거기에 있습니다 semanage. /var/log/audit에 올바른 컨텍스트가 있다는 것을 이미 알고 있으므로 가장 쉬운 방법은 로컬 selinux 파일 컨텍스트를 동일하게 설정하는 것입니다. 따라서 다음과 같이 실행합니다.
semanage fcontext -a -e /var/log/audit /mydir/log
이는 SELinux에 (-a) 파일 컨텍스트 규칙을 추가하도록 지시합니다. 이는 /mydir/log가 /var/log/audit와 동일한(-e) 파일 컨텍스트를 갖게 됨을 의미합니다. 규칙을 설정한 후 restorecon -r -v /mydir/log/mydir/log의 selinux 속성을 새 정책으로 설정하는 데 필요한 작업을 실행해야 합니다.