Configurando o SELINUX para permitir o registro em um arquivo que está fora de / var / log


3

Eu tenho um daemon que usa syslog (3) para fazer logon em um arquivo que não é descendente de / var / log. Atualmente, isso requer que o SELINUX seja desativado. Como posso configurar um SELINUX ativado para permitir esse log?

Eu sou um novato na SELINUX. Qualquer orientação ou conselho seria apreciado.



Cory, boa ideia. Feito. Curioso para ver qual troca responde primeiro.
Steve Emmerson

Respostas:


0

Você precisa alterar o contexto do seu diretório de log. Por exemplo, você deseja fazer login em / mnt / extranal / log em vez de / var / log.

Portanto, você deve definir o tipo SELinux para / mnt / external / log como var_log_t, assim como o / var / log já possui.

Verifica

ls -Z /var

com resultado

drwxr-xr-x. root root system_u:object_r:var_log_t:s0   log

prepare seu diretório de log

mkdir /mnt/external/log

preparar regras para rotular FS pelo SELinux

semanage fcontext -a -t var_log_t /mnt/external/log

chamar a remarcação do seu diretório

restorecon -v /mnt/external/log

se você tiver feito, verifique

ls -Z /mnt/external

com resultado

drwxr-xr-x. root root system_u:object_r:var_log_t:s0   log

Isso é tudo se você não usar a política MLS / MCS.

Veja mais detalhes em

https://docs.fedoraproject.org/pt-BR/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html

https://docs.fedoraproject.org/pt-BR/Fedora/11/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-SELinux_Contexts_Labeling_Files-Persistent_Changes_semanage_fcontext.html

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.