我正在使用启用 SELinux 的 RHEL 机器。
我想将日志文件位置更改auditd为/mydir/log/audit.log. 我可以将安全上下文应用system_u:object_r:auditd_log_t:s0到这个文件。/mydir/log但是,目录和父目录的安全上下文应该是什么,/mydir因为它们将被其他守护程序读取/写入?
还是我应该走最简单的方法然后做
semanage permissive -a auditd_t
反而?
AskOverflow.Dev
您没有指定您已禁用日志轮换,因此我们仍然需要允许 auditd 创建多个文件。
更一般地,您应该保留将审核日志放在专用
audit目录中的当前结构,除非您对为什么不需要这样做非常有信心。除非你的版本不使用那个结构,因为它是旧的?但至少 RHEL 6/var/log/audit/默认使用。如果您不允许任何东西重命名或更改任何祖先目录的权限,那么拥有
auditd_log_tonaudit.log和auditlog 目录就足够严格了。以上似乎很容易实现。那么“足够严格”意味着您可以考虑解决决定的安全部分。只需测试任何东西,看看它是否有效,然后你就会知道它并没有太严格。根据您提供的信息,我没有注意到这里有任何困难。
你大部分时间都在那里,你正在使用
semanage命令。由于您已经知道 /var/log/audit 上有正确的上下文,因此最简单的方法是设置本地 selinux 文件上下文等效项。所以你会运行这样的事情:这告诉 SELinux 添加 (-a) 一个文件上下文规则,该规则说 /mydir/log 将具有与 /var/log/audit 相同的所有 (-e) 文件上下文。设置规则后,您需要运行
restorecon -r -v /mydir/log以将 /mydir/log 上的 selinux 属性设置为新策略所需的内容。