엄격 모드에서 실행되는 SELinux 시스템을 백업하는 cron 작업이 있습니다. 문제는 SELinux가 파일 시스템의 모든 파일(및 해당 파일의 모든 컨텍스트)에 대한 액세스를 원하기 때문에 백업 스크립트에 대한 액세스를 거부하려고 한다는 것입니다. 지금은 허용 모드에서 실행 중이므로 스크립트가 작동하지만 허용 모드를 끄고 싶습니다.
kernel: [1491196.754521] type=1400 audit(1325232096.275:12572): avc: denied { read open } for pid=24642 comm="xfsdump" name="init.d" dev=dm-1 ino=268794309 scontext=root:sysadm_r:cronjob_t tcontext=system_u:object_r:initrc_state_t tclass=dir
엄격한 정책을 실행할 때 unconfined_t가 허용되지 않는 것처럼 보이기 때문에 스크립트를 unconfined_t로 실행하면 작동하지 않습니다.
루트의 LVM 스냅샷을 만들고 스냅샷을 마운트한 다음 xfsdump를 실행하여 백업을 수행합니다. 또한 /boot 파티션(ext2)을 tarball에 백업합니다.
이러한 유형의 백업을 수행하는 올바른 방법은 무엇입니까?
파일 컨텍스트가 백업되지만 적용되지 않는 파일 시스템을 마운트하는 방법이 있습니까? 그런데 학술적인 목적으로도 설치가 불가능한 시스템(이미 설치되어 재설치가 불가능한 시스템)을 백업하고 싶은 경우 어떻게 해야 합니까?
답변1
좀 더 구체적으로 설명하고 어떤 배포판/정책을 실행하고 있는지 알려주십시오. 일부는 필요에 따라 "무제한" 프로세스를 허용하고(man runcon), 일부는 허용하지 않습니다. 이 경우 SELinux 유형을 사용하도록 백업 스크립트를 표시해야 합니다. 모든 파일에 대한 읽기 액세스를 허용하거나 이에 대한 새 애플리케이션 정책을 생성합니다(어려움).
편집: 나는 당신이 읽었다고 가정합니다SELinux 백업 FAQ: 사용star
답변2
backup_t를 제공하고 시스템 백업을 허용하는 백업 정책 모듈을 사용할 수 있습니다. Tresys 리플정책의 일부입니다.http://oss.tresys.com/projects/clip/browser/trunk/refpolicy/src/selinux-policy-clip/policy/modules/admin/backup.te
일단 설치되면 백업 스크립트의 파일 컨텍스트를 backup_exec_t로 설정하기만 하면 전체 시스템에 액세스할 수 있습니다.