我正在尝试configuration一组locking规则。 我的做法是从受限用户开始,使用audit2allow消息来select性地添加权限。 我的问题是,我没有在/var/log/audit/audit.log看到预期的拒绝消息。
对于我的testing,我作为受限用户通过SSHlogin到该框。 我试图猫/etc/init.d/sshd 。 在SELinux强制执行的情况下,我在shell中看到“权限被拒绝”错误。 在SELinux处于宽容模式下,我可以运行猫没有问题。 但是在任何情况下,我都不会在日志中看到拒绝消息。
更新:我试图mount分区时看到拒绝消息,但仍然不是cat 。
尝试ausearch -ts today -m avc -m user_avc -m selinux_err ,看看会发生什么。
您可能会遇到约束违规或无效的上下文生成。 selinux_err会select这些。
还有一些消息(特别是用户空间对象pipe理器)可能只能login到dmesg。 所以请尝试在那里看。
看起来像默认的selinux策略有一些没有审计规则,这是抓住这种情况。 一旦我禁用不审计,我看到了预期的行为。
semodule --disable_dontaudit --build
边缘情况 – 如果您使用rm /var/log/audit/audit.log ,则auditd不够聪明,无法创build新文件。 如果您touch /var/log/audit/audit.log ,则auditd不够聪明,无法写入刚刚创build的新文件。 您必须重新启动auditd服务才能重新开始日志logging。