私はSELinuxが有効なRHELコンピュータを使用しています。
auditd
ログファイルの場所をに変更したいと思います。ファイルに/mydir/log/audit.log
セキュリティコンテキストを適用できます。system_u:object_r:auditd_log_t:s0
しかし、他のデーモンが読み書きするので、ディレクトリ/mydir/log
と親ディレクトリのセキュリティコンテキストは何ですか?/mydir
それとも最も簡単な方法で行うべきですか?
semanage permissive -a auditd_t
代わりに?
答え1
ログローテーションを無効にすることを指定していないため、auditdが複数のファイルを生成できるようにする必要があります。
audit
より一般的には、監査ログが不要な理由がわからない限り、専用ディレクトリに監査ログを配置する現在の構造を維持する必要があります。あなたのバージョンが古いので、その構造を使用しない限り?ただし、少なくともRHEL 6は/var/log/audit/
デフォルトでそれを使用します。
親ディレクトリの名前の変更または権限の変更を許可しない場合は、ログディレクトリの制限のみがauditd_log_t
適用audit.log
されますaudit
。
上記は実装しやすいようです。 「十分に限定的」とは、決定の安全部分を扱うことを考慮できることを意味する。テストし、動作していることを確認すると、動作しないことがわかります。また限定的です。あなたが提供した情報によると、ここでは何の問題もありません。
答え2
あなたはコマンドを使用してほとんどの時間をそこにいますsemanage
。 /var/log/auditに正しいコンテキストがあることがすでにわかっているので、最も簡単な方法はローカルselinuxファイルコンテキストを同じにすることです。したがって、次のように実行します。
semanage fcontext -a -e /var/log/audit /mydir/log
これは SELinux に (-a) ファイルコンテキストルールを追加するよう指示します。これは、/mydir/logが/var/log/auditと同じ(-e)ファイルコンテキストを持つことを意味します。ルールを設定したら、restorecon -r -v /mydir/log
/ mydir / logのselinux属性を新しいポリシーに設定するために必要なタスクを実行する必要があります。