バックアップseLinuxシステムは厳密に実行されます。

バックアップseLinuxシステムは厳密に実行されます。

厳密モードで実行されているSELinuxシステムをバックアップするcronジョブがあります。問題は、SELinuxがファイルシステム上のすべてのファイル(およびそのファイルのすべてのコンテキスト)へのアクセスを望んでいるため、バックアップスクリプトへのアクセスを拒否しようとしていることです。今は許可モードで実行しているので、スクリプトは機能しますが、許可モードをオフにしたいと思います。

kernel: [1491196.754521] type=1400 audit(1325232096.275:12572): avc:  denied  { read open } for  pid=24642 comm="xfsdump" name="init.d" dev=dm-1 ino=268794309 scontext=root:sysadm_r:cronjob_t tcontext=system_u:object_r:initrc_state_t tclass=dir

厳格なポリシーを実行すると unconfined_t が許可されないように見えるため、スクリプトを unconfined_t として実行すると機能しません。

ルートのLVMスナップショットを作成してスナップショットをマウントし、xfsdumpを実行してバックアップを実行します。また、/boot パーティション (ext2) を tarball にバックアップします。

このタイプのバックアップを実行する正しい方法は何ですか?
ファイルコンテキストはバックアップされますが、適用されないファイルシステムをマウントする方法はありますか?しかし、学術的な目的でインストールできないシステム(すでにインストールされていて再インストールできないシステム)をバックアップしたい場合はどうすればよいですか?

答え1

より具体的に説明し、どのディストリビューション/ポリシーを実行しているか教えてください。一部は必要に応じて「無制限」プロセスを許可し(man runco​​n)、一部は許可しません。この場合、SELinuxタイプを使用するようにバックアップスクリプトを表示する必要があります。すべてのファイルへの読み取りアクセスを許可するか、新しいアプリケーションポリシーを作成します(困難)。

編集:私はあなたが読んだと仮定しますSELinuxバックアップFAQ:使用star

答え2

backup_t を提供し、システムのバックアップを許可するバックアップポリシーモジュールを使用できます。 Tresysリップルポリシーの一部です。http://oss.tresys.com/projects/clip/browser/trunk/refpolicy/src/selinux-policy-clip/policy/modules/admin/backup.te

インストールしたら、バックアップスクリプトのファイルコンテキストをbackup_exec_tに設定するだけで、システム全体にアクセスできます。

関連情報