āĻā§āĻ°ā§āĻ¸ āĻāĻžāĻ¤ā§āĻ°āĻĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻ¸ā§āĻ¤ā§āĻ¤ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§ā§āĻ° āĻ
āĻ¨ā§āĻŦāĻžāĻĻ
SELinux āĻŦāĻž āĻ¸āĻŋāĻāĻŋāĻāĻ°āĻŋāĻāĻŋ āĻāĻ¨āĻšā§āĻ¯āĻžāĻ¨ā§āĻ¸āĻĄ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻšāĻ˛ āĻāĻāĻāĻŋ āĻŦāĻ°ā§āĻ§āĻŋāĻ¤ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻŽā§āĻāĻžāĻ¨āĻŋāĻāĻŽ āĻ¯āĻž āĻāĻāĻāĻ¸ āĻ¨ā§āĻ¯āĻžāĻļāĻ¨āĻžāĻ˛ āĻ¸āĻŋāĻāĻŋāĻāĻ°āĻŋāĻāĻŋ āĻāĻā§āĻ¨ā§āĻ¸āĻŋ (NSA) āĻĻā§āĻŦāĻžāĻ°āĻž āĻĻā§āĻˇāĻŋāĻ¤ āĻ
āĻ¨ā§āĻĒā§āĻ°āĻŦā§āĻļ āĻ°ā§āĻ§ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§āĨ¤ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻŦāĻžāĻ§ā§āĻ¯āĻ¤āĻžāĻŽā§āĻ˛āĻ (āĻŦāĻž āĻŦāĻžāĻ§ā§āĻ¯āĻ¤āĻžāĻŽā§āĻ˛āĻ) āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻŽāĻĄā§āĻ˛ (āĻāĻāĻ°ā§āĻāĻŋ āĻŦāĻžāĻ§ā§āĻ¯āĻ¤āĻžāĻŽā§āĻ˛āĻ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛, MAC) āĻŦāĻŋāĻĻā§āĻ¯āĻŽāĻžāĻ¨ āĻĄāĻŋāĻ¸āĻā§āĻ°āĻŋāĻļāĻ¨āĻžāĻ°āĻŋ (āĻŦāĻž āĻ¸āĻŋāĻ˛ā§āĻā§āĻāĻŋāĻ) āĻŽāĻĄā§āĻ˛ā§āĻ° (āĻāĻāĻ˛āĻŋāĻļ āĻĄāĻŋāĻ¸āĻā§āĻ°āĻŋāĻļāĻ¨āĻžāĻ°āĻŋ āĻ
ā§āĻ¯āĻžāĻāĻ¸ā§āĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛, DAC) āĻāĻĒāĻ°ā§ āĻĒā§āĻ°āĻ¯āĻŧā§āĻ āĻāĻ°ā§, āĻ
āĻ°ā§āĻĨāĻžā§ āĻĒāĻĄāĻŧāĻžāĻ°, āĻ˛ā§āĻāĻžāĻ°, āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋāĨ¤
SELinux āĻ¤āĻŋāĻ¨āĻāĻŋ āĻŽā§āĻĄ āĻāĻā§:
- āĻĒā§āĻ°āĻ¯āĻŧā§āĻ - āĻ¨ā§āĻ¤āĻŋāĻ° āĻ¨āĻŋāĻ¯āĻŧāĻŽā§āĻ° āĻāĻĒāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ āĻ¸ā§āĻŦā§āĻāĻžāĻ°āĨ¤
- āĻ āĻ¨ā§āĻŽāĻŋāĻ¤ â āĻ¨ā§āĻ¤āĻŋ āĻ˛āĻā§āĻāĻ¨ āĻāĻ°ā§ āĻāĻŽāĻ¨ āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻ˛āĻ āĻ°āĻžāĻāĻž, āĻ¯āĻž āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻāĻžāĻ°ā§ āĻŽā§āĻĄā§ āĻ¨āĻŋāĻˇāĻŋāĻĻā§āĻ§ āĻāĻ°āĻž āĻšāĻŦā§āĨ¤
- āĻ āĻā§āĻˇāĻŽ - SELinux āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻžāĨ¤
āĻĄāĻŋāĻĢāĻ˛ā§āĻāĻ°ā§āĻĒā§ āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻāĻā§ /etc/selinux/config
SELinux āĻŽā§āĻĄ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻž āĻšāĻā§āĻā§
āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ āĻŽā§āĻĄ āĻā§āĻāĻā§ āĻŦā§āĻ° āĻāĻ°āĻ¤ā§, āĻāĻžāĻ˛āĻžāĻ¨
$ getenforce
āĻŽā§āĻĄāĻā§ āĻĒāĻžāĻ°āĻŽāĻŋāĻ¸āĻŋāĻā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻāĻŋ āĻāĻžāĻ˛āĻžāĻ¨
$ setenforce 0
āĻ āĻĨāĻŦāĻž, āĻĨā§āĻā§ āĻŽā§āĻĄ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§ āĻ āĻ¨ā§āĻŽāĻ¤āĻŋāĻ¸ā§āĻāĻ āĻāĻĒāĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻ, āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻ
$ setenforce 1
āĻāĻĒāĻ¨āĻžāĻ° āĻ¯āĻĻāĻŋ SELinux āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖāĻ°ā§āĻĒā§ āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻ¤ā§ āĻšāĻ¯āĻŧ, āĻ¤āĻŦā§ āĻāĻāĻŋ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§
$ vi /etc/selinux/config
āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻ¤ā§, āĻ¨āĻŋāĻŽā§āĻ¨āĻ°ā§āĻĒ SELINUX āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§āĻ¨:
SELINUX=disabled
SELinux āĻ¸ā§āĻ āĻāĻĒ āĻāĻ°āĻž āĻšāĻā§āĻā§
āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻĢāĻžāĻāĻ˛ āĻāĻŦāĻ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻāĻāĻŋ SELinux āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¯āĻžāĻ¤ā§ āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻ¤āĻĨā§āĻ¯ āĻ¯ā§āĻŽāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§, āĻā§āĻŽāĻŋāĻāĻž, āĻĒā§āĻ°āĻāĻžāĻ° āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ āĻĨāĻžāĻā§āĨ¤ āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ āĻĒā§āĻ°āĻĨāĻŽāĻŦāĻžāĻ° SELinux āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°ā§āĻ¨, āĻ¤āĻžāĻšāĻ˛ā§ āĻāĻĒāĻ¨āĻžāĻā§ āĻĒā§āĻ°āĻĨāĻŽā§ āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻāĻŦāĻ āĻ˛ā§āĻŦā§āĻ˛ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻšāĻŦā§āĨ¤ āĻ˛ā§āĻŦā§āĻ˛ āĻāĻŦāĻ āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻŦāĻ°āĻžāĻĻā§āĻĻ āĻāĻ°āĻžāĻ° āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋ āĻā§āĻ¯āĻžāĻāĻŋāĻ āĻ¨āĻžāĻŽā§ āĻĒāĻ°āĻŋāĻāĻŋāĻ¤āĨ¤ āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤āĻāĻ°āĻŖ āĻļā§āĻ°ā§ āĻāĻ°āĻ¤ā§, āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛ā§ āĻāĻŽāĻ°āĻž āĻŽā§āĻĄ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻŋ āĻ āĻ¨ā§āĻŽāĻ¤āĻŋāĻ¸ā§āĻāĻ.
$ vi /etc/selinux/config
SELINUX=permissive
āĻŽā§āĻĄ āĻ¸ā§āĻ āĻāĻ°āĻžāĻ° āĻĒāĻ° āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋāĻ¸ā§āĻāĻ, āĻ¨āĻžāĻŽā§āĻ° āĻ¸āĻžāĻĨā§ āĻ°ā§āĻā§ āĻāĻāĻāĻŋ āĻāĻžāĻ˛āĻŋ āĻ˛ā§āĻāĻžāĻ¨ā§ āĻĢāĻžāĻāĻ˛ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨ autorelabel
$ touch /.autorelabel
āĻāĻŦāĻ āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ° āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻāĻžāĻ˛ā§ āĻāĻ°ā§āĻ¨
$ init 6
āĻĻā§āĻ°āĻˇā§āĻāĻŦā§āĻ¯: āĻāĻŽāĻ°āĻž āĻŽā§āĻĄ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŋ āĻ āĻ¨ā§āĻŽāĻ¤āĻŋāĻ¸ā§āĻāĻ āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻŽā§āĻĄ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĻ° āĻĒāĻ° āĻĨā§āĻā§ āĻĒā§āĻ°āĻ¯āĻŧā§āĻ āĻ°āĻŋāĻŦā§āĻ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻā§āĻ°ā§āĻ¯āĻžāĻļ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
āĻā§āĻ¨ā§ āĻĢāĻžāĻāĻ˛ā§ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻāĻā§ āĻā§āĻ˛ā§ āĻāĻŋāĻ¨ā§āĻ¤āĻž āĻāĻ°āĻŦā§āĻ¨ āĻ¨āĻž, āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻ¤ā§ āĻāĻāĻā§ āĻ¸āĻŽāĻ¯āĻŧ āĻ˛āĻžāĻā§āĨ¤ āĻāĻāĻŦāĻžāĻ° āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤āĻāĻ°āĻŖ āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻšāĻ˛ā§ āĻāĻŦāĻ āĻāĻĒāĻ¨āĻžāĻ° āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻŦā§āĻ āĻšāĻ¯āĻŧā§ āĻā§āĻ˛ā§, āĻāĻĒāĻ¨āĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛ā§ āĻāĻŋāĻ¯āĻŧā§ āĻŽā§āĻĄ āĻ¸ā§āĻ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻāĻŦāĻ āĻāĻžāĻ˛āĻžāĻ¨:
$ setenforce 1
āĻāĻĒāĻ¨āĻŋ āĻāĻāĻ¨ āĻ¸āĻĢāĻ˛āĻāĻžāĻŦā§ āĻāĻĒāĻ¨āĻžāĻ° āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ°ā§ SELinux āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°ā§āĻā§āĻ¨āĨ¤
āĻ˛āĻ āĻ¨āĻŋāĻ°ā§āĻā§āĻˇāĻŖ
āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻŦāĻž āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻāĻ˛āĻžāĻāĻžāĻ˛ā§āĻ¨ āĻāĻĒāĻ¨āĻŋ āĻāĻŋāĻā§ āĻ¤ā§āĻ°ā§āĻāĻŋāĻ° āĻ¸āĻŽā§āĻŽā§āĻā§āĻ¨ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤ āĻāĻĒāĻ¨āĻžāĻ° SELinux āĻ¸āĻ āĻŋāĻāĻāĻžāĻŦā§ āĻāĻžāĻ āĻāĻ°āĻā§ āĻāĻŋāĻ¨āĻž āĻāĻŦāĻ āĻāĻāĻŋ āĻā§āĻ¨ā§ āĻĒā§āĻ°ā§āĻ, āĻ
ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻā§āĻļāĻ¨ āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋāĻ° āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻŦā§āĻ˛āĻ āĻāĻ°āĻā§ āĻāĻŋāĻ¨āĻž āĻ¤āĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻ¤ā§, āĻāĻĒāĻ¨āĻžāĻā§ āĻ˛āĻāĻā§āĻ˛āĻŋ āĻĻā§āĻāĻ¤ā§ āĻšāĻŦā§āĨ¤ SELinux āĻ˛āĻāĻāĻŋ āĻ
āĻŦāĻ¸ā§āĻĨāĻŋāĻ¤ /var/log/audit/audit.log
, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻā§āĻāĻā§ āĻĒā§āĻ¤ā§ āĻāĻĒāĻ¨āĻžāĻā§ āĻĒā§āĻ°ā§ āĻāĻŋāĻ¨āĻŋāĻ¸āĻāĻŋ āĻĒāĻĄāĻŧāĻ¤ā§ āĻšāĻŦā§ āĻ¨āĻžāĨ¤ āĻāĻĒāĻ¨āĻŋ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻā§āĻāĻā§ āĻĒā§āĻ¤ā§ audit2why āĻāĻāĻāĻŋāĻ˛āĻŋāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻāĻžāĻ˛āĻžāĻ¨:
$ audit2why < /var/log/audit/audit.log
āĻĢāĻ˛āĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻĒāĻ¨āĻŋ āĻ¤ā§āĻ°ā§āĻāĻŋāĻ° āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻĒāĻžāĻŦā§āĻ¨āĨ¤ āĻ˛āĻā§ āĻā§āĻ¨ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻ¨āĻž āĻĨāĻžāĻāĻ˛ā§, āĻā§āĻ¨ āĻŦāĻžāĻ°ā§āĻ¤āĻž āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻŋāĻ¤ āĻšāĻŦā§ āĻ¨āĻžāĨ¤
SELinux āĻ¨ā§āĻ¤āĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻž āĻšāĻā§āĻā§
āĻāĻāĻāĻŋ SELinux āĻ¨ā§āĻ¤āĻŋ āĻšāĻ˛ āĻ¨āĻŋāĻ¯āĻŧāĻŽā§āĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻ āĻ¯āĻž SELinux āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻŦā§āĻ¯āĻŦāĻ¸ā§āĻĨāĻžāĻā§ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻ°ā§āĨ¤ āĻāĻāĻāĻŋ āĻ¨ā§āĻ¤āĻŋ āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻĒāĻ°āĻŋāĻŦā§āĻļā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¨āĻŋāĻ¯āĻŧāĻŽā§āĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻ āĻ¸āĻāĻā§āĻāĻžāĻ¯āĻŧāĻŋāĻ¤ āĻāĻ°ā§āĨ¤ āĻāĻāĻ¨ āĻāĻŽāĻ°āĻž āĻļāĻŋāĻāĻŦ āĻā§āĻāĻžāĻŦā§ āĻ¨āĻŋāĻˇāĻŋāĻĻā§āĻ§ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ā§āĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¨ā§āĻ¤āĻŋāĻā§āĻ˛āĻŋ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻšāĻ¯āĻŧā§ˇ
1. āĻ¯ā§āĻā§āĻ¤āĻŋāĻ āĻŽāĻžāĻ¨ (āĻ¸ā§āĻāĻ)
āĻ¸ā§āĻāĻ (āĻŦā§āĻ˛āĻŋāĻ¯āĻŧāĻžāĻ¨) āĻāĻĒāĻ¨āĻžāĻā§ āĻ¨āĻ¤ā§āĻ¨ āĻ¨ā§āĻ¤āĻŋ āĻ¤ā§āĻ°āĻŋ āĻ¨āĻž āĻāĻ°ā§āĻ āĻ°āĻžāĻ¨āĻāĻžāĻāĻŽā§ āĻāĻāĻāĻŋ āĻ¨ā§āĻ¤āĻŋāĻ° āĻ āĻāĻļ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§ āĻĻā§āĻ¯āĻŧāĨ¤ āĻ¤āĻžāĻ°āĻž āĻāĻĒāĻ¨āĻžāĻā§ SELinux āĻĒāĻ˛āĻŋāĻ¸āĻŋ āĻ°āĻŋāĻŦā§āĻ āĻŦāĻž āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻāĻŽā§āĻĒāĻžāĻāĻ˛ āĻ¨āĻž āĻāĻ°ā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻžāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧāĨ¤
āĻāĻĻāĻžāĻšāĻ°āĻŖ
āĻ§āĻ°āĻž āĻ¯āĻžāĻ āĻāĻŽāĻ°āĻž FTP āĻ°āĻŋāĻĄ/āĻ°āĻžāĻāĻā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻāĻāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻšā§āĻŽ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻāĻžāĻ āĻāĻ°āĻ¤ā§ āĻāĻžāĻ āĻāĻŦāĻ āĻāĻŽāĻ°āĻž āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§āĻ āĻāĻāĻŋ āĻāĻžāĻ āĻāĻ°ā§āĻāĻŋ, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¯āĻāĻ¨ āĻāĻŽāĻ°āĻž āĻāĻāĻŋ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°āĻŋ āĻ¤āĻāĻ¨ āĻāĻŽāĻ°āĻž āĻāĻŋāĻā§āĻ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ āĻ¨āĻžāĨ¤ āĻāĻ° āĻāĻžāĻ°āĻŖ āĻšāĻ˛ SELinux āĻ¨ā§āĻ¤āĻŋ FTP āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°āĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻšā§āĻŽ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ¤ā§ āĻĒāĻĄāĻŧāĻ¤ā§ āĻāĻŦāĻ āĻ˛āĻŋāĻāĻ¤ā§ āĻŦāĻžāĻ§āĻž āĻĻā§āĻ¯āĻŧāĨ¤ āĻāĻŽāĻžāĻĻā§āĻ° āĻ¨ā§āĻ¤āĻŋ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§ āĻ¯āĻžāĻ¤ā§ FTP āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻšā§āĻŽ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻā§āĻ¨ āĻ¸ā§āĻāĻ āĻāĻā§ āĻāĻŋ āĻāĻ°ā§ āĻĻā§āĻāĻž āĻ¯āĻžāĻ
$ semanage boolean -l
āĻāĻ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻāĻŋ āĻāĻĒāĻ˛āĻŦā§āĻ§ āĻ¸ā§āĻāĻāĻā§āĻ˛āĻŋāĻā§ āĻ¤āĻžāĻĻā§āĻ° āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ āĻ āĻŦāĻ¸ā§āĻĨāĻž (āĻāĻžāĻ˛ā§ āĻŦāĻž āĻŦāĻ¨ā§āĻ§) āĻāĻŦāĻ āĻŦāĻŋāĻŦāĻ°āĻŖ āĻ¸āĻš āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻā§āĻā§āĻ¤ āĻāĻ°āĻŦā§āĨ¤ āĻāĻĒāĻ¨āĻŋ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻāĻĢāĻāĻŋāĻĒāĻŋ-āĻ° āĻĢāĻ˛āĻžāĻĢāĻ˛ āĻā§āĻāĻā§ āĻĒā§āĻ¤ā§ grep āĻ¯ā§āĻ āĻāĻ°ā§ āĻāĻĒāĻ¨āĻžāĻ° āĻ āĻ¨ā§āĻ¸āĻ¨ā§āĻ§āĻžāĻ¨ āĻĒāĻ°āĻŋāĻŽāĻžāĻ°ā§āĻāĻ¨ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨:
$ semanage boolean -l | grep ftp
āĻāĻŦāĻ āĻāĻĒāĻ¨āĻŋ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻĒāĻžāĻŦā§āĻ¨
ftp_home_dir -> off Allow ftp to read & write file in user home directory
āĻāĻ āĻ¸ā§āĻāĻāĻāĻŋ āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§, āĻ¤āĻžāĻ āĻāĻŽāĻ°āĻž āĻāĻāĻŋāĻā§ āĻ¸āĻā§āĻˇāĻŽ āĻāĻ°āĻŦ setsebool $ setsebool ftp_home_dir on
āĻāĻāĻ¨ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻĢāĻāĻŋāĻĒāĻŋ āĻĄā§āĻŽāĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻšā§āĻŽ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻŦā§āĨ¤
āĻĻā§āĻ°āĻˇā§āĻāĻŦā§āĻ¯: āĻāĻĒāĻ¨āĻŋ āĻŦāĻ°ā§āĻŖāĻ¨āĻž āĻāĻžāĻĄāĻŧāĻžāĻ āĻāĻĒāĻ˛āĻŦā§āĻ§ āĻ¸ā§āĻāĻāĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻ āĻĒā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨ getsebool -a
2. āĻ˛ā§āĻŦā§āĻ˛ āĻāĻŦāĻ āĻĒā§āĻ°āĻ¸āĻā§āĻ
āĻāĻāĻŋ SELinux āĻ¨ā§āĻ¤āĻŋ āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨ā§āĻ° āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻāĻĒāĻžāĻ¯āĻŧāĨ¤ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻĢāĻžāĻāĻ˛, āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°, āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻŦāĻ āĻĒā§āĻ°ā§āĻ SELinux āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§:
- āĻĢāĻžāĻāĻ˛ āĻāĻŦāĻ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°āĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯, āĻ˛ā§āĻŦā§āĻ˛āĻā§āĻ˛āĻŋ āĻĢāĻžāĻāĻ˛ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻŦāĻ°ā§āĻ§āĻŋāĻ¤ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻāĻŽāĻžāĻ¨ā§āĻĄā§āĻ° āĻ¸āĻžāĻĨā§ āĻĻā§āĻāĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§:
$ ls -Z /etc/httpd
- āĻĒā§āĻ°āĻ¸ā§āĻ¸ āĻāĻŦāĻ āĻĒā§āĻ°ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯, āĻ˛ā§āĻŦā§āĻ˛āĻŋāĻ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻŋāĻ¤ āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻāĻĒāĻ¨āĻŋ āĻāĻ āĻ˛ā§āĻŦā§āĻ˛āĻā§āĻ˛āĻŋāĻā§ āĻ¨āĻŋāĻŽā§āĻ¨āĻ°ā§āĻĒ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨:
āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž
$ ps âauxZ | grep httpd
āĻŦāĻ¨ā§āĻĻāĻ°
$ netstat -anpZ | grep httpd
āĻāĻĻāĻžāĻšāĻ°āĻŖ
āĻ˛ā§āĻŦā§āĻ˛ āĻāĻŦāĻ āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻāĻžāĻ˛ā§āĻāĻžāĻŦā§ āĻŦā§āĻāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻ¨ āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻĻā§āĻāĻŋāĨ¤ āĻ§āĻ°āĻž āĻ¯āĻžāĻ āĻāĻŽāĻ°āĻž āĻāĻāĻāĻŋ āĻāĻ¯āĻŧā§āĻŦ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻāĻā§ āĻ¯ā§, āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤ā§ āĻāĻāĻāĻŋ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ /var/www/html/ иŅĐŋĐžĐģŅСŅĐĩŅ /home/dan/html/
. SELinux āĻāĻāĻŋāĻā§ āĻ¨ā§āĻ¤āĻŋāĻ° āĻ˛āĻā§āĻāĻ¨ āĻŦāĻ˛ā§ āĻŦāĻŋāĻŦā§āĻāĻ¨āĻž āĻāĻ°āĻŦā§ āĻāĻŦāĻ āĻāĻĒāĻ¨āĻŋ āĻāĻĒāĻ¨āĻžāĻ° āĻāĻ¯āĻŧā§āĻŦ āĻĒā§āĻˇā§āĻ āĻžāĻā§āĻ˛āĻŋ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°āĻŦā§āĻ¨ āĻ¨āĻžāĨ¤ āĻāĻ° āĻāĻžāĻ°āĻŖ āĻšāĻ˛ āĻāĻŽāĻ°āĻž HTML āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋāĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻāĻŋāĻ¤ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻ¸ā§āĻ āĻāĻ°āĻŋāĻ¨āĻŋā§ˇ āĻĄāĻŋāĻĢāĻ˛ā§āĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻĻā§āĻāĻ¤ā§, āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻ¨:
$ ls âlz /var/www/html
-rw-rârâ. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/
āĻāĻāĻžāĻ¨ā§ āĻāĻŽāĻ°āĻž āĻĒā§āĻ¯āĻŧā§āĻāĻŋāĻ˛āĻžāĻŽ httpd_sys_content_t
html āĻĢāĻžāĻāĻ˛ā§āĻ° āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻšāĻŋāĻ¸āĻžāĻŦā§āĨ¤ āĻāĻŽāĻžāĻĻā§āĻ° āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻ¸ā§āĻ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§, āĻ¯āĻžāĻ° āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ā§ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻ°āĻ¯āĻŧā§āĻā§:
-rw-rârâ. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/
āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛ āĻŦāĻž āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻŦāĻŋāĻāĻ˛ā§āĻĒ āĻāĻŽāĻžāĻ¨ā§āĻĄ:
$ semanage fcontext -l | grep '/var/www'
āĻāĻŽāĻ°āĻž āĻ¸āĻ āĻŋāĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻā§āĻāĻā§ āĻĒā§āĻ˛ā§ āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§ semanage āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŦāĨ¤ /home/dan/html āĻāĻ° āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§, āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻā§āĻ˛āĻŋ āĻāĻžāĻ˛āĻžāĻ¨:
$ semanage fcontext -a -t httpd_sys_content_t â/home/dan/html(/.*)?â
$ semanage fcontext -l | grep â/home/dan/htmlâ
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html
semanage āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§, restorecon āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻĢāĻžāĻāĻ˛ āĻāĻŦāĻ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋāĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻĄāĻŋāĻĢāĻ˛ā§āĻ āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻ˛ā§āĻĄ āĻāĻ°āĻŦā§āĨ¤ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻ¯āĻŧā§āĻŦ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻāĻāĻ¨ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ° āĻĨā§āĻā§ āĻĢāĻžāĻāĻ˛ āĻĒāĻĄāĻŧāĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻŦā§ /home/dan/html
āĻāĻžāĻ°āĻŖ āĻāĻ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°ā§āĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻĒā§āĻ°āĻ¸āĻā§āĻā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ httpd_sys_content_t
.
3. āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ¨ā§āĻ¤āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨
āĻāĻŽāĻ¨ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¯ā§āĻāĻžāĻ¨ā§ āĻāĻĒāĻ°ā§āĻ° āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻā§āĻ˛āĻŋ āĻāĻĒāĻ¨āĻžāĻ° āĻāĻžāĻā§ āĻ˛āĻžāĻā§ āĻ¨āĻž āĻāĻŦāĻ āĻāĻĒāĻ¨āĻŋ audit.log-āĻ āĻ¤ā§āĻ°ā§āĻāĻŋ (avc/denial) āĻĒāĻžāĻ¨āĨ¤ āĻ¯āĻāĻ¨ āĻāĻāĻŋ āĻāĻāĻŦā§, āĻāĻĒāĻ¨āĻžāĻā§ āĻāĻāĻāĻŋ āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ¨ā§āĻ¤āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§āĨ¤ āĻāĻĒāĻ¨āĻŋ āĻāĻĒāĻ°ā§ āĻŦāĻ°ā§āĻŖāĻŋāĻ¤ āĻšāĻŋāĻ¸āĻžāĻŦā§ audit2why āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻā§āĻāĻā§ āĻĒā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤
āĻāĻĒāĻ¨āĻŋ āĻ¤ā§āĻ°ā§āĻāĻŋāĻā§āĻ˛āĻŋ āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ¨ā§āĻ¤āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻŽāĻ°āĻž httpd (apache) āĻŦāĻž smbd (samba) āĻ¸āĻŽā§āĻĒāĻ°ā§āĻāĻŋāĻ¤ āĻāĻāĻāĻŋ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻĒāĻžāĻ, āĻāĻŽāĻ°āĻž āĻ¤ā§āĻ°ā§āĻāĻŋāĻā§āĻ˛āĻŋ āĻā§āĻ°ā§āĻĒ āĻāĻ°āĻŋ āĻāĻŦāĻ āĻ¤āĻžāĻĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ¨ā§āĻ¤āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻŋ:
apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy
āĻāĻāĻž āĻšāĻ˛ http_policy
и smb_policy
āĻāĻŽāĻžāĻĻā§āĻ° āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ¨ā§āĻ¤āĻŋāĻā§āĻ˛āĻŋāĻ° āĻ¨āĻžāĻŽāĨ¤ āĻāĻāĻ¨ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ¨ā§āĻ¤āĻŋāĻā§āĻ˛āĻŋāĻā§ āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ SELinux āĻ¨ā§āĻ¤āĻŋāĻ¤ā§ āĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§āĨ¤ āĻāĻšāĻž āĻāĻāĻžāĻŦā§ āĻāĻ°āĻž āĻ¯āĻžāĻŦā§:
$ semodule âI http_policy.pp
$ semodule âI smb_policy.pp
āĻāĻŽāĻžāĻĻā§āĻ° āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ¨ā§āĻ¤āĻŋāĻā§āĻ˛āĻŋ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻāĻŦāĻ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻ° audit.log-āĻ āĻā§āĻ¨ā§ avc āĻŦāĻž denail āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻāĻāĻŋāĻ¤ āĻ¨āĻ¯āĻŧā§ˇ
āĻāĻāĻŋ āĻāĻĒāĻ¨āĻžāĻā§ SELinux āĻŦā§āĻāĻ¤ā§ āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻŽāĻžāĻ° āĻĒā§āĻ°āĻā§āĻˇā§āĻāĻž āĻāĻŋāĻ˛āĨ¤ āĻāĻŽāĻŋ āĻāĻļāĻž āĻāĻ°āĻŋ āĻāĻ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻāĻŋ āĻĒāĻĄāĻŧāĻžāĻ° āĻĒāĻ°ā§ āĻāĻĒāĻ¨āĻŋ SELinux āĻāĻ° āĻ¸āĻžāĻĨā§ āĻāĻ°āĻ āĻ¸ā§āĻŦāĻžāĻā§āĻāĻ¨ā§āĻĻā§āĻ¯ āĻŦā§āĻ§ āĻāĻ°āĻŦā§āĻ¨āĨ¤
āĻāĻ¤ā§āĻ¸: www.habr.com