Я пытаюсь настроить набор правил блокировки. Мой подход - начать с ограниченного пользователя и использовать audit2allow сообщения для выборочного добавления разрешений. Моя проблема в том, что я не вижу ожидаемых сообщений об отказе в /var/log/audit/audit.log.
Для моего теста я вошел в систему через SSH как пользователь с ограниченным доступом. Я пытаюсь кататься /etc/init.d/sshd. При принудительном использовании SELinux я вижу в оболочке ошибку «доступ запрещен». С SELinux в разрешающем режиме я могу запускать cat без проблем. Но в любом случае я не вижу сообщений об отказе в журнале.
Обновление: я вижу отклоненные сообщения при попытке mount раздел, но все же не для cat.
Похоже, что в политике selinux по умолчанию есть некоторые правила без аудита, которые улавливают этот случай. После того как я отключил функцию «Не выполнять аудит», я вижу ожидаемое поведение.
semodule --disable_dontaudit --build
Пытаться ausearch -ts today -m avc -m user_avc -m selinux_err и посмотрим, что получится.
Возможно, вы столкнулись с нарушением ограничения или созданием недопустимого контекста. selinux_err возьму их.
Также некоторые сообщения (в частности, менеджеры объектов пользовательского пространства) могут входить только в dmesg. Так что попробуйте поискать и там.
Edge case - если вы rm /var/log/audit/audit.log, auditd недостаточно умен, чтобы создать новый файл. если ты touch /var/log/audit/audit.log, auditd недостаточно умен для записи в новый файл, который вы только что создали. Вам необходимо перезапустить службу auditd, чтобы журнал снова заработал.