Почему мой SELinux ничего не регистрирует?
У меня есть скрытое подозрение, что это как-то связано с тем, что я возился с моим rsyslog.conf, но я не уверен на 100% в этом.
Я использую Centos 7, и SELinux работает нормально. Тем не мение, Я пытался следовать этим инструкциям , и SELinux не отрицал этого.
Я сделал следующее:
useradd fnord
echo "fnord:user_u:s0-s0:c0.c1023" >> /etc/selinux/targeted/seusers
setsebool user_exec_content off
sudo su - fnord
cp /bin/ls /tmp
/tmp/ls
Команда / tmp / ls работала нормально. Я пробовал с флагом -P и без него, но это не имеет никакого значения.
Я пытаюсь вызвать какое-то сообщение журнала SELinux, потому что /var/audit/audit.log пуст, что бы я ни делал. Я знаю, что SELinux обеспечивает соблюдение правил, потому что rsyslog настроен для отправки определенных журналов в / company / var / log / , но эти журналы не записываются. Если я изменю SELinux на разрешающий вместо принудительного, они сделают запись . Но в /var/audit/audit.log больше ничего не записывается. Это определенно было раньше - у меня есть audit.log.1 и другие пролонгированные файлы.
Сначала я подумал, что это могло быть /etc/rsyslog.d/listen.conf , я изменил содержимое из $ SystemLogSocketName / run / systemd / journal / syslog to $ SystemLogSocketName / dev / log , но с тех пор я изменил его обратно и перезапустил rsyslog. И по-прежнему ничего не отображается в audit.log .
Как я могу узнать, почему это не регистрируется правильно?
Как оказалось, kauditd ! = auditd и auditd - это служба, которую SELinux использует для входа в систему.
Если systemctl start auditd не работает, вы можете посмотреть в / var / log / messages . В моем случае я обнаружил, что /var/log/audit/audit.log (файл, который я удалил и touch ed) должен иметь разрешения 0600 ( Я думаю, там сказано 0640 тоже в порядке).
Выполнение этого:
# chmod 600 /var/log/audit/audit.log
# systemctl start auditd
Повторно включено ведение журнала