如何修改SELinux访问限制

前端之家收集整理的这篇文章主要介绍了如何修改SELinux访问限制前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我希望SE Linux允许LogRotate守护程序在/var/log/audit/audit.log下旋转和压缩审计日志,但是它被阻止并显示以下错误消息:
Oct 27 04:06:03 setroubleshoot: SELinux is preventing /usr/sbin/logrotate "read" access on /var/log/audit.

/ var / log / audit目录的上下文是:

drwxr-x---. root  root  system_u:object_r:auditd_log_t:s0 audit

是否有上下文我可以提供一个文件或目录,使SELinux表现得像关闭一样?我正在游说文档而且我不会在一夜之间学习这个东西,所以我想实施一个解决方法,直到我能做到正确.任何推动正确的方向都是受欢迎的.

编辑:我也发现我遇到的所有文档与我的CentOS 6服务器上实际存在的文档(即文件和配置位置)不匹配.有没有其他人有这个问题,没有“正确”信息的良好来源?

编辑2–我把它拿回来,他们有关于在不同部分构建策略的说明. http://www.centos.org/docs/5/html/Deployment_Guide-en-US/sec-sel-building-policy-module.html

最终编辑:所以我的最终目标是尝试每天轮换审核日志,因为我每天发送一封带有任何新SELinux警报的电子邮件,但我一直收到相同的消息.所以我尝试创建一个新的logrotate规则来执行这些日志,但是SELinux阻止了它.事实证明,auditd有一个内置的旋转功能,可以通过运行/ sbin / service auditd rotate来调用它来旋转日志.我可以简单地在日常的cron工作中设置它.我仍然认为SELinux问题具有价值,所以如果有人想回答它,它可能会有助于未来的googlers

解决方法

试试这个:
semanage fcontext -a -t var_log_t '/var/log/audit(/.*)?'
restorecon -R -v /var/log/audit

Is there a list of available types somewhere?

# seinfo -t | less

How would you know to use the ‘var_log_t’ type?

https://bugzilla.redhat.com/show_bug.cgi?id=682473

# semanage fcontext -l | grep '/var/log'

猜你在找的Linux相关文章