Контекст безопасности SELinux для родительских каталогов
Вы можете найти номер, косую черту и номер, чтобы они соответствовали маскам сети, что-то вроде может сделать эту работу:
grep -o "\d\/\d"
или
grep -o "[0-9]\/[0-9]"
Вы в основном там, вы используете команду semanage. Поскольку вы уже знаете, что в /var/log/audit есть правильный контекст, проще всего настроить эквивалентность локального файлового контекста selinux. Итак, вы бы запустили что-то вроде этого:
semanage fcontext -a -e /var/log/audit /mydir/log
Это говорит SELinux добавить (-правило контекста файла ), которое говорит, что /mydir/log будет иметь весь эквивалент (-e )контекста файла как /var/log/audit. После того, как вы установили правило, вы хотите запустить restorecon -r -v /mydir/log, чтобы установить атрибуты selinux в /mydir/log в соответствии с требованиями новой политики.
Вы не указали, что вы отключили ротацию журналов, поэтому нам по-прежнему необходимо разрешить auditd создавать несколько файлов.
В более общем плане вам следует сохранить текущую структуру размещения журналов аудита в выделенном auditкаталоге, если только вы не уверены в том, почему вам это не нужно. Разве ваша версия не использует эту структуру, потому что она старая? Но по крайней мере RHEL 6 использует /var/log/audit/по умолчанию.
При условии, что вы не разрешаете переименовывать или изменять разрешения любого из каталогов-предков, достаточно ограничить auditd_log_tдля audit.logи каталога журнала audit.
Вышеупомянутое кажется простым для выполнения. Тогда «достаточно ограничительный» будет означать, что вы можете считать часть решения, связанную с безопасностью, решенной. Просто протестируйте что угодно и посмотрите, работает ли оно, и тогда вы поймете, что оно не является слишком ограничительным. Я не заметил здесь никаких сложностей, судя по информации, которую вы дали.