À propos de l'application de la politique en cas de blocage par SElinux
Utiliser la scène
- Lorsqu'il est détecté dans audit.log qu'un processus spécifique est bloqué par SELinux.
procédure
1. Confirmation de la cause du blocage par SElinux.
sudo audit2allow -w -a
sudo audit2allow -a
- La commande audit est sortie en se référant à audit.log.
- N'allez pas voir les fichiers en rotation (audit.log.X, audit.log-AAAAMMJJ).
2. Créez un fichier de stratégie.
sudo audit2allow -a -M nom du fichier de stratégie
- À ce stade, <nom du fichier de stratégie> .te <nom du fichier de stratégie> .pp est créé.
3. Appliquer la politique
sudo semodule -i nom du fichier de stratégie.pp
4-1 Confirmation de l'application de la politique.
Confirmez que la stratégie appliquée est affichée.
sudo semodule -l
4-2 Confirmation de l'application de la politique.
4-2-1. Chargez le module sepolicy.
[stack@rhosp-dir01 ~]$ python
Python 2.7.5 (default, Jun 11 2019, 14:33:56)
[GCC 4.8.5 20150623 (Red Hat 4.8.5-39)] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>>
>>> import sepolicy
>>>
4-2-2. Confirmation de l'application de la politique
>>> sepolicy.search ([sepolicy.ALLOW], {sepolicy.TARGET:'context in policy file '})
Exemple
>>> sepolicy.search([sepolicy.ALLOW],{sepolicy.TARGET:'logrotate_t'})
[{'target': 'domain', 'enabled': True, 'source': 'nagios_openshift_plugin_t', 'permlist': ['read', 'getattr'], 'type': 'allow', 'class': 'lnk_file'},
réduction
- Puisque sepolicy.search ne peut avoir que deux arguments, si une grande quantité de sortie est effectuée, vérifiez la cible en grep le journal séparément.