Configurando o SELINUX para permitir o registro em um arquivo que está fora de / var / log

3

Eu tenho um daemon que usa syslog (3) para fazer logon em um arquivo que não é descendente de / var / log. Atualmente, isso requer que o SELINUX seja desativado. Como posso configurar um SELINUX ativado para permitir esse log?

Eu sou um novato na SELINUX. Qualquer orientação ou conselho seria apreciado.

linux  syslog  selinux 
Steve Emmerson
fonte
Cory Klein
Cory, boa ideia. Feito. Curioso para ver qual troca responde primeiro.
Steve Emmerson

Respostas:

0

Você precisa alterar o contexto do seu diretório de log. Por exemplo, você deseja fazer login em / mnt / extranal / log em vez de / var / log.

Portanto, você deve definir o tipo SELinux para / mnt / external / log como var_log_t, assim como o / var / log já possui.

Verifica 

ls -Z /var

com resultado

drwxr-xr-x. root root system_u:object_r:var_log_t:s0   log

prepare seu diretório de log

mkdir /mnt/external/log

preparar regras para rotular FS pelo SELinux

semanage fcontext -a -t var_log_t /mnt/external/log

chamar a remarcação do seu diretório

restorecon -v /mnt/external/log

se você tiver feito, verifique 

ls -Z /mnt/external

com resultado

drwxr-xr-x. root root system_u:object_r:var_log_t:s0   log

Isso é tudo se você não usar a política MLS / MCS.

Veja mais detalhes em

https://docs.fedoraproject.org/pt-BR/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html

https://docs.fedoraproject.org/pt-BR/Fedora/11/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-SELinux_Contexts_Labeling_Files-Persistent_Changes_semanage_fcontext.html

user1959366
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.