У меня есть скрытое подозрение, что это как-то связано с тем, что я возился с моим rsyslog.conf, но я не уверен на 100% в этом.
Я использую Centos 7, и SELinux работает нормально. Тем не мение, Я пытался следовать этим инструкциям , и SELinux не отрицал этого.
Я сделал следующее:
useradd fnord
echo "fnord:user_u:s0-s0:c0.c1023" >> /etc/selinux/targeted/seusers
setsebool user_exec_content off
sudo su - fnord
cp /bin/ls /tmp
/tmp/ls
Команда / tmp / ls
работала нормально. Я пробовал с флагом -P
и без него, но это не имеет никакого значения.
Я пытаюсь вызвать какое-то сообщение журнала SELinux, потому что /var/audit/audit.log
пуст, что бы я ни делал. Я знаю, что SELinux обеспечивает соблюдение правил, потому что rsyslog настроен для отправки определенных журналов в / company / var / log /
, но эти журналы не записываются. Если я изменю SELinux на разрешающий вместо принудительного, они сделают запись . Но в /var/audit/audit.log
больше ничего не записывается. Это определенно было раньше - у меня есть audit.log.1
и другие пролонгированные файлы.
Сначала я подумал, что это могло быть /etc/rsyslog.d/listen.conf
, я изменил содержимое из $ SystemLogSocketName / run / systemd / journal / syslog
to $ SystemLogSocketName / dev / log
, но с тех пор я изменил его обратно и перезапустил rsyslog. И по-прежнему ничего не отображается в audit.log
.
Как я могу узнать, почему это не регистрируется правильно?
Как оказалось, kauditd
! = auditd
и auditd
- это служба, которую SELinux использует для входа в систему.
Если systemctl start auditd
не работает, вы можете посмотреть в / var / log / messages
. В моем случае я обнаружил, что /var/log/audit/audit.log
(файл, который я удалил и touch
ed) должен иметь разрешения 0600
( Я думаю, там сказано 0640
тоже в порядке).
Выполнение этого:
# chmod 600 /var/log/audit/audit.log
# systemctl start auditd
Повторно включено ведение журнала