У меня есть скрытое подозрение, что это как-то связано с тем, что я возился с моим rsyslog.conf, но я не уверен на 100% в этом.
Я использую Centos 7, и SELinux работает нормально. Однако я пытался следовать эти инструкции и SELinux этого не отрицал.
Я сделал следующее:
useradd fnord
echo "fnord:user_u:s0-s0:c0.c1023" >> /etc/selinux/targeted/seusers
setsebool user_exec_content off
sudo su - fnord
cp /bin/ls /tmp
/tmp/ls
В /tmp/ls команда работала нормально. Я пробовал с и без -P флаг, но это не имеет значения.
Я пытаюсь вызвать сообщение журнала SELinux, потому что /var/audit/audit.log пусто, что бы я ни делал. Я знаю, что SELinux обеспечивает соблюдение правил, потому что rsyslog настроен для отправки определенных журналов в /company/var/log/, но эти журналы не записываются. Если я изменю SELinux на разрешающий вместо того, чтобы делать написать. Но ничего не пишет /var/audit/audit.log больше. Это определенно было раньше - у меня есть audit.log.1 и прочие накатанные файлы.
Сначала я подумал, что это могло быть /etc/rsyslog.d/listen.conf, Я изменил содержимое с $SystemLogSocketName /run/systemd/journal/syslog к $SystemLogSocketName /dev/log но с тех пор я вернул его обратно и перезапустил rsyslog. И по-прежнему ничего не появляется audit.log.
Как я могу узнать, почему это не регистрируется правильно?
Как оказывается, kauditd знак равно auditd, и auditd это служба, которую SELinux использует для входа в систему.
когда systemctl start auditd не получается, вы можете заглянуть /var/log/messages. В моем случае я обнаружил, что /var/log/audit/audit.log (файл, который я удалил и touchред) необходимо иметь 0600 разрешения (я думаю, что там сказано 0640 тоже было ОК).
Делая это:
# chmod 600 /var/log/audit/audit.log
# systemctl start auditd
Повторно включено ведение журнала