父目錄的 SELinux 安全上下文
我正在使用啟用 SELinux 的 RHEL 機器。
我想將日誌文件位置更改
auditd為/mydir/log/audit.log. 我可以將安全上下文應用system_u:object_r:auditd_log_t:s0到這個文件。/mydir/log但是,目錄和父目錄的安全上下文應該是什麼,/mydir因為它們將被其他守護程序讀取/寫入?還是我應該走最簡單的方法然後做
semanage permissive -a auditd_t反而?
你大部分時間都在那裡,你正在使用
semanage命令。由於您已經知道 /var/log/audit 上有正確的上下文,因此最簡單的方法是設置本地 selinux 文件上下文等效項。所以你會執行這樣的事情:semanage fcontext -a -e /var/log/audit /mydir/log這告訴 SELinux 添加 (-a) 一個文件上下文規則,該規則說 /mydir/log 將具有與 /var/log/audit 相同的所有 (-e) 文件上下文。設置規則後,您需要執行
restorecon -r -v /mydir/log以將 /mydir/log 上的 selinux 屬性設置為新策略所需的內容。
您沒有指定您已禁用日誌輪換,因此我們仍然需要允許 auditd 創建多個文件。
更一般地,您應該保留將審核日誌放在專用
audit目錄中的目前結構,除非您對為什麼不需要這樣做非常有信心。除非你的版本不使用那個結構,因為它是舊的?但至少 RHEL 6/var/log/audit/預設使用。如果您不允許任何東西重命名或更改任何祖先目錄的權限,那麼擁有
auditd_log_tonaudit.log和auditlog 目錄就足夠嚴格了。以上似乎很容易實現。那麼“足夠嚴格”意味著您可以考慮解決決定的安全部分。只需測試任何東西,看看它是否有效,然後你就會知道它並沒有太嚴格。根據您提供的資訊,我沒有註意到這裡有任何困難。