áááºáááºážáá¬ážáá»á¬ážá¡ááœáẠááŒááºáááºáá¬ážáá±á¬ áá±á¬ááºážáá«ážááᯠáá¬áá¬ááŒááºááŒááºážá
SELinux ááá¯á·ááá¯áẠSecurity Enhanced Linux ááẠá¡áá¹ááá¬ááºááŸááá±á¬ áá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŸá¯áá»á¬ážááᯠáá¬ááœááºááẠUS National Security Agency (NSA) á០áá®ááœááºáá¬ážáá±á¬ ááá¯ááá¯áá±á¬ááºážááœááºáá±á¬ áááºáá±á¬ááºááááºážáá»á¯ááºááŸá¯ ááá¹ááá¬ážáá
áºáá¯ááŒá
áºáááºá áááºážááẠááŸááááºážá
áœá²ááá¯áááᯠ(ááá¯á·ááá¯áẠááœá±ážáá»ááºáá¬ážáá±á¬) áá±á¬áºááẠ(á¡ááºá¹áááááºááá¯áááᯠáá¯á¶ážá
áœá²ááœáá·áºááááºážáá»á¯ááºááŸá¯ DAC) áááááºááœáẠá¡áááºážá¡áá»áẠ(ááá¯á·ááá¯áẠáááŒá
áºááá±) áááºáá±á¬ááºááááºážáá»á¯ááºááŸá¯áá¯á¶á
ᶠ(á¡ááºá¹áááááºááááºááá±á Access Controlá MAC) ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáááºá
SELinux ááœáẠáá¯ááºáá¯á¶ážáá»áá¯ážááŸááááºá
- ááá¡á¬ážáá±ážááẠâ áá°áá«áá ááºážáá»ááºážáá»á¬ážá¡áá±á«áº á¡ááŒá±áá¶á ááŒááºážáááºááŒááºážááᯠáááºáá±á¬ááºááœáá·áºá
- ááœáá·áºááŒá¯áááºá â á ááºážáá»á¥áºážá ááºážáááºážááᯠáá»áá¯ážáá±á¬ááºááá·áº áá¯ááºáá±á¬ááºáá»ááºááŸááºáááºážááᯠáá¬ážááŸáááŒááºáž
- ááááºá áœááºáž - SELinux ááᯠáá¯á¶ážáááááºáá¬ážáá«á
áá¯á¶ááŸááºá¡á¬ážááŒáá·áº áááºáááºáá»á¬áž áá«áááºáá«áááºá /etc/selinux/config
SELinux áá¯ááºáá»á¬ážááᯠááŒá±á¬ááºážáá²ááŒááºážá
áááºááŸááá¯ááºááᯠááááŸááááºá ááœáá·áºáá«á
$ getenforce
ááœáá·áºááŒá¯áááºáá¯ááºááá¯ááŒá±á¬ááºážááẠá¡á±á¬ááºáá« command ááᯠrun áá«á
$ setenforce 0
ááá¯á·ááá¯áẠáá¯ááºááŸááŒá±á¬ááºážááẠááœáá·áºááŒá¯ááẠá¡áá±á«áº ááá¯ááºáá¬áá»áá·áºáá¯á¶ážááŒááºážá, á¡ááŒá áºáááº
$ setenforce 1
SELinux ááᯠáá¯á¶ážáááááºááẠááá¯á¡ááºáá«áá áááºážááᯠconfiguration file ááŒáá·áºáᬠáá¯ááºáá±á¬ááºááá¯ááºáááºá
$ vi /etc/selinux/config
ááááºáááºá SELINUX áá±á¬ááºááᯠá¡á±á¬ááºáá«á¡ááá¯ááºáž ááŒá±á¬ááºážáá«-
SELINUX=disabled
SELinux ááᯠá áá áºááá·áºááœááºážááŒááºážá
ááá¯ááºááŸáá·áº áá¯ááºáááºážá ááºáá áºáá¯á á®ááᯠáá¯á¶ážá áœá²áá°á á¡áááºážááá¹áá á¡áá»áá¯ážá¡á á¬ážá á áááºááŒáá·áº áááºáá±á¬ááºážá¡áá»ááºá¡áááºáá»á¬ážáá«ááŸááá±á¬ SELinux áááºá ááºááŸá¯ááŒáá·áº ááŸááºáá¬ážáá¬ážáááºá á¡áááºá á€áááºááŸá¬ SELinux ááᯠáááºááááá¯á¶ážááœáá·áºááŒááºážááŒá áºáá«áá áááºááẠááááŠážá áœá¬ á¡ááŒá±á¬ááºážá¡áá¬ááŸáá·áº á¡ááœáŸááºážáá»á¬ážááᯠconfigure áá¯ááºááẠááá¯á¡ááºáá«áááºá á¡ááœáŸááºážáá»á¬ážááŸáá·áº á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠáááºááŸááºáá±ážááŒááºážáá¯ááºáááºážá ááºááᯠáááºááŒááºážáá¯áá±á«áºáááºá á¡ááŸááºá¡áá¬ážááŒá¯áááºá ááœá²á·á ááºážááŸá¯ááá¯ááºááœáẠáá»áœááºá¯ááºááá¯á·ááẠáá¯ááºááá¯á·ááŒá±á¬ááºážáááºá ááœáá·áºááŒá¯áááº.
$ vi /etc/selinux/config
SELINUX=permissive
áá¯ááºááᯠáááºááŸááºááŒá®ážáá±á¬áẠááœáá·áºááŒá¯áááºá á¡áááºááŒáá·áº á¡ááŒá
áºááœáẠááŸááºáá¬ážáá±á¬ á¡ááœááºááá¯ááºáá
áºáá¯ááᯠáááºáá®ážáá«á autorelabel
$ touch /.autorelabel
ááŒá®ážáá»áŸáẠááœááºáá»á°áá¬ááᯠááŒááºáááºá áááºáá«á
$ init 6
ááŸááºáá»ááº- áá»áœááºá¯ááºááá¯á·ááẠáá¯ááºááᯠá¡áá¯á¶ážááŒá¯áááºá ááœáá·áºááŒá¯ááẠáá¯ááºááá¯á¡áá¯á¶ážááŒá¯ááááºážá á¡ááŸááºá¡áá¬ážááŒá¯áá¯ááºááẠááá¯ááºáá¬áá»áá·áºáá¯á¶ážááŒááºážá ááŒááºáááºá áááºáá»áááºááœáẠá áá áºáá»ááºááœá¬ážááá¯ááºáááºá
áá±á«ááºážáá¯ááºááẠááá¯ááºá¡áá»áá¯á·ááœáẠááááºáááá±áá«á á¡ááŸááºá¡áá¬ážááŒá¯áá¯ááºááẠá¡áá»áááºá¡áááºážáááºááŒá¬áááºááᯠá áááºááá°áá«ááŸáá·áºá á¡ááŸááºá¡áá¬áž ááŒá®ážááœá¬ážáááºááŸáá·áº ááá·áºá áá Ạá áááºáááºááŸáá·áºá áááºááẠconfiguration file ááá¯á·ááœá¬ážá áá¯ááºááᯠáááºááŸááºááá¯ááºáááºá ááá¯ááºáá¬áá»áá·áºáá¯á¶ážááŒááºážáááŸáá·áºáááºáž run:
$ setenforce 1
ááᯠááá·áºááœááºááŒá°áá¬ááœáẠSELinux ááᯠá¡á±á¬ááºááŒááºá áœá¬ ááœáá·áºááá¯ááºáá«ááŒá®á
ááŸááºáááºážáá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºááŒááºážá
á¡ááŸááºá¡áá¬ážáá¯ááºáá±á
áẠááá¯á·ááá¯áẠá
áá
áºáá¯ááºáá±á¬ááºáá±áá»áááºááœáẠáááºááẠá¡ááŸá¬ážá¡ááœááºážá¡áá»áá¯á·ááᯠááŒá¯á¶ááœá±á·áááá¯ááºáááºá áááºá SELinux ááẠááŸááºáááºááŸá¯ááŸááááŸá á
á
áºáá±ážáááºááŸáá·áº áááºááá·áº port á á¡ááá®áá±ážááŸááºáž á
áááºááá¯á·ááá¯á· áááºáá±á¬ááºááœáá·áºááᯠááááºáááºáá¬ážááŒááºáž áááŸááá«áá ááŸááºáááºážáá»á¬ážááᯠááŒáá·áºááŸá¯ááẠááá¯á¡ááºáá«áááºá SELinux ááŸááºáááºážááœáẠáááºááŸááááºá /var/log/audit/audit.log
áá«áá±ááá·áº á¡ááŸá¬ážááœá±ááŸá¬ááá¯á· á¡á¬ážáá¯á¶ážááᯠáááºááá¯á· áááá¯á¡ááºáá«áá°ážá á¡ááŸá¬ážáá»á¬ážááá¯ááŸá¬ááœá±ááẠaudit2why utility ááá¯áááºáá¯á¶ážááá¯ááºáááºá á¡á±á¬ááºáá« command ááᯠrun áá«á
$ audit2why < /var/log/audit/audit.log
ááááºá¡áá±ááŒáá·áº áááºááẠá¡ááŸá¬ážáá»á¬ážá á¬áááºážááᯠáááºáá¶áááŸááááºááŒá áºáááºá ááŸááºáááºážááœáẠá¡ááŸá¬ážá¡ááœááºážáá»á¬ážáááŸááá²á·áá«á áááºáá±á·áá»áºáá»á¬ážááᯠááŒááááºááá¯ááºáá«á
SELinux áá°áá«áááᯠááŒááºáááºááŒááºáž
SELinux áá°áá«áááẠSELinux áá¯á¶ááŒá¯á¶áá±ážááá¹ááá¬ážá¡á¬áž ááááºážáá»á¯ááºááá·áº á ááºážáá»ááºážáá»á¬ážááŒá áºáááºá áá°áá«ááá áºáá¯ááẠáá®ážááŒá¬ážáááºáááºážáá»ááºáá áºáá¯á¡ááœáẠá ááºážáá»ááºážáá»á¬ážáááºááŸááºáááºá ááᯠáá»áœááºá¯ááºááá¯á·ááẠáá¬ážááŒá áºáá¬ážáá±á¬ áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠáááºáá±á¬ááºááœáá·áºááŒá¯ááẠáá°áá«ááá»á¬ážááᯠáááºááá¯á·ááŒááºáááºááááºááᯠáá±á·áá¬áá«áááºá
1. áá¯áá¹áááááºááá¯ážáá»á¬áž (ááá¯ááºáá»á¬áž)á
ááá¯ááºáá»á¬áž (booleans) ááẠááá·áºá¡á¬áž áá°áá«áá¡áá áºáá»á¬ážáááºáá®ážáááºáááá¯áá² runtime ááœáẠáá°áá«áá¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠááŒá±á¬ááºážáá²ááá¯ááºá á±áá«áááºá áááºážááá¯á·ááẠááá·áºá¡á¬áž SELinux áá°áá«ááá»á¬ážááᯠááŒááºáááºá áááºááŒááºáž ááá¯á·ááá¯áẠááŒááºáááºáá±á«ááºážá ááºážááŒááºážáááŒá¯áá² á¡ááŒá±á¬ááºážá¡áá²áá»á¬ážááᯠááŒá¯áá¯ááºááá¯ááºá á±áá«áááºá
ááá°áá¬
FTP read/write ááŸáá
áºááá·áº áá¯á¶ážá
áœá²áá°áá
áºáŠážá áááºááááºážááœáŸááºááᯠáá»áŸáá±ááá¯ááŒá®áž áááºážááᯠáá»áŸáá±áá¬ážááŒá®ážááŒá
áºáá±á¬áºáááºáž áááºážááᯠáááºáá±á¬ááºááẠááŒáá¯ážá
á¬ážáá±á¬á¡áá«ááœáẠáááºááá·áºá¡áá¬ááá¯áá»áŸ áááœá±á·ááá±á¬á·áá«á SELinux áá°áá«áááẠFTP áá¬áá¬á¡á¬áž á¡áá¯á¶ážááŒá¯áá°á áááºááááºážááœáŸááºááá¯á· á
á¬áá±ážááŒááºážá¡á¬áž áá¬ážáá®ážáá¬ážáá±á¬ááŒá±á¬áá·áº ááŒá
áºáááºá FTP áá¬áá¬ááẠáááºááááºážááœáŸááºáá»á¬ážááᯠáááºáá±á¬ááºááŒáá·áºááŸá¯ááá¯ááºá
á±ááẠáá°áá«áááᯠááŒá±á¬ááºážáá²ááẠááá¯á¡ááºáá«áááºá áá®á¡ááœáẠswitches ááœá±ááŸááááŸá ááŒáá·áºáá¡á±á¬ááº
$ semanage boolean -l
ဠcommand ááẠáááŸáááá¯ááºáá±á¬ ááá¯ááºáá»á¬ážááᯠáááºážááá¯á·á áááºááŸáá¡ááŒá±á¡áá± (ááœáá·áº ááá¯á·ááá¯áẠááááº) ááŸáá·áº áá±á¬áºááŒáá»ááºááŒáá·áº á á¬áááºážááŒá¯á á¯áááºááŒá áºáááºá ftp áá®ážááá·áºááááºáá»á¬ážááá¯ááŸá¬ááœá±ááẠgrep ááá¯ááá·áºááŒááºážááŒáá·áº áááºáááŸá¬ááœá±ááŸá¯ááᯠááŒááºáááºááŒááºáááºááá¯ááºáááº-
$ semanage boolean -l | grep ftp
á¡á±á¬ááºáá«ááá¯á·ááᯠáááºááœá±á·áááá·áºáááºá
ftp_home_dir -> off Allow ftp to read & write file in user home directory
á€ááá¯ááºááᯠááááºáá¬ážáá±á¬ááŒá±á¬áá·áº áááºážááᯠáá»áœááºá¯ááºááá¯á· ááœáá·áºáá±ážáá«áááºá setsebool $ setsebool ftp_home_dir on
ááᯠáá»áœááºá¯ááºááá¯á·á ftp daemon ááẠáá¯á¶ážá
áœá²áá°á áááºááááºážááœáŸááºááᯠáááºáá±á¬ááºááŒáá·áºááŸá¯ááá¯ááºáááºááŒá
áºáááºá
ááŸááºáá»ááº- áá¯ááºáá±á¬ááºááŒááºážááŒáá·áº áá±á¬áºááŒáá»ááºááá«áá² áááŸáááá¯ááºáá±á¬ ááá¯ááºáá»á¬ážá
á¬áááºážááá¯áááºáž áááºáááá¯ááºáááºá getsebool -a
2. á¡ááœáŸááºážáá»á¬ážááŸáá·áº á¡ááŒá±á¬ááºážá¡áá¬
á€áááºááŸá¬ SELinux áá°áá«áááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááẠá¡áá¯á¶ážá¡áá»á¬ážáá¯á¶ážáááºážáááºážááŒá áºáááºá ááá¯ááºá ááá¯ááºááœá²á áá¯ááºáááºážá ááºááŸáá·áº ááááºáááºážááá¯ááºážááᯠSELinux áááºá ááºááŸá¯ááŒáá·áº ááŸááºáá¬ážáá¬ážáááº-
- ááá¯ááºáá»á¬ážááŸáá·áº ááá¯ááºááœá²áá»á¬ážá¡ááœááºá á¡ááœáŸááºážáá»á¬ážááᯠááá¯ááºá
áá
áºááœáẠááá¯ážáá»á²á·áá¬ážáá±á¬ áá¯ááºáááºáá»á¬ážá¡ááŒá
Ạááááºážáááºážáá¬ážááŒá®áž á¡á±á¬ááºáá« command ááŒáá·áº ááŒáá·áºááŸá¯ááá¯ááºáááº-
$ ls -Z /etc/httpd
- áá¯ááºáááºážá ááºáá»á¬ážááŸáá·áº ááááºáááºážáá»á¬ážá¡ááœááºá á¡ááœáŸááºážáááºááŒááºážááᯠkernel á០á á®áá¶ááá·áºááœá²ááŒá®áž á€áá¶ááááºáá»á¬ážááᯠá¡á±á¬ááºáá«á¡ááá¯ááºáž áááºááŒáá·áºááŸá¯ááá¯ááºáááº-
ááŒá áºá ááº
$ ps âauxZ | grep httpd
port ááá¯
$ netstat -anpZ | grep httpd
ááá°áá¬
ááᯠá¡ááœáŸááºážáá»á¬ážááŸáá·áº á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠááá¯ááá¯áá±á¬ááºážááœááºá
áœá¬ áá¬ážáááºááẠá¥ááá¬áá
áºáá¯ááᯠááŒáá·áºááŒáá«á
áá¯á·á áááºážááœáŸááºáá
áºáá¯á¡á
á¬áž áááºáá¬áá¬áá
áºáá¯ááŸáááẠááá¯ááŒáá«á
áá¯á· /var/www/html/ ОÑпПлÑзÑÐµÑ /home/dan/html/
. SELinux ááẠáááºážááᯠáá°áá«ááá»áá¯ážáá±á¬ááºááŸá¯áá
áºáá¯áᯠáá°ááááºááŒá
áºááŒá®áž ááá·áºáááºá
á¬áá»ááºááŸá¬áá»á¬ážááᯠáááºááŒáá·áºááŸá¯ááá¯ááºáááºááá¯ááºáá«á á¡ááŒá±á¬ááºážááŸá¬ HTML ááá¯ááºáá»á¬ážááŸáá·áº áááºá
ááºáá±ááá·áº áá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠá¡ááŒá±á¬ááºážá¡áá¬ááᯠáá»áœááºá¯ááºááá¯á· ááááºááŸááºáá¬ážáá±á¬ááŒá±á¬áá·áº ááŒá
áºáááºá áá°áááºážáá¯á¶ááŒá¯á¶áá±ážá¡ááŒá±á¬ááºážá¡áá¬ááᯠááŒáá·áºáááºá á¡á±á¬ááºáá« command ááᯠá¡áá¯á¶ážááŒá¯áá«-
$ ls âlz /var/www/html
-rw-rârâ. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/
áá®ááŸá¬ áá«ááá¯á·ááááºá httpd_sys_content_t
html ááá¯ááºáá»á¬ážá¡ááœáẠá¡ááŒá±á¬ááºážá¡áá¬á¡ááŒá
áºá áá±á¬áá±á¬ááẠá¡á±á¬ááºáá«á¡ááŒá±á¬ááºážá¡áá¬áá«ááŸááá±á¬ áá»áœááºá¯ááºááá¯á·ááááºááŸááááºážááœáŸááºá¡ááœáẠá€áá¯á¶ááŒá¯á¶áá±ážá¡ááŒá±á¬ááºážá¡áá¬ááᯠáááºááŸááºááẠááá¯á¡ááºáááº-
-rw-rârâ. dan dan system_u:object_r:user_home_t:s0 /home/dan/html/
ááá¯áẠááá¯á·ááá¯áẠáááºážááœáŸááºá áá¯á¶ááŒá¯á¶áá±ážááá¯ááºáᬠá¡ááŒá±á¬ááºážá¡áá¬ááᯠá á áºáá±ážááẠá¡ááŒá¬áž ááœáŸááºááŒá¬ážáá»ááºáá áºáá¯-
$ semanage fcontext -l | grep '/var/www'
ááŸááºáááºáá±á¬áá¯á¶ááŒá¯á¶áá±ážá¡ááŒá±á¬ááºážá¡áá¬ááᯠáá»áœááºá¯ááºááá¯á·ááœá±á·ááŸáááŒá®ážáááºááŸáá·áº áááºá ááºá¡ááŒá±á¬ááºážá¡áá¬ááᯠááŒá±á¬ááºážáá²ááẠSemanage ááá¯áááºáž á¡áá¯á¶ážááŒá¯áá«áááºá /home/dan/html á áááºá ááºá¡ááŒá±á¬ááºážá¡áá¬ááᯠááŒá±á¬ááºážáá²áááºá á¡á±á¬ááºáá« command áá»á¬ážááᯠáá¯ááºáá±á¬ááºáá«á
$ semanage fcontext -a -t httpd_sys_content_t â/home/dan/html(/.*)?â
$ semanage fcontext -l | grep â/home/dan/htmlâ
/home/dan/html(/.*)? all files system_u:object_r:httpd_sys_content_t:s0
$ restorecon -Rv /home/dan/html
semanage ááᯠá¡áá¯á¶ážááŒá¯á á¡ááŒá±á¬ááºážá¡áá¬ááᯠááŒá±á¬ááºážáá²ááŒá®ážáá±á¬ááºá restorecon ááœáŸááºááŒá¬ážáá»ááºááẠááá¯ááºáá»á¬ážááŸáá·áº áááºážááœáŸááºáá»á¬ážá¡ááœáẠáá¯á¶áá±á¡ááŒá±á¬ááºážá¡áá¬ááᯠáááºáááºááŒá
áºáááºá áá»áœááºá¯ááºááá¯á·á áááºáá¬áá¬ááẠááá¯á¡áá« ááá¯áá«á០ááá¯ááºáá»á¬ážááᯠáááºááá¯ááºáá±á¬á·áááºááŒá
áºáááºá /home/dan/html
á€ááá¯ááºááœá²á¡ááœáẠáá¯á¶ááŒá¯á¶áá±ážá¡ááŒá±á¬ááºážá¡áá¬ááᯠááŒá±á¬ááºážáá²áá¬ážáá±á¬ááŒá±á¬áá·áºááŒá
áºáááºá httpd_sys_content_t
.
3. áá±áááá¯ááºáá¬áá°áá«ááá»á¬ážáááºáá®ážáá«á
á¡áááºáá±á¬áºááŒáá« áááºážáááºážáá»á¬ážááẠááá·áºá¡ááœáẠá¡áá¯á¶ážááááºááá·áº á¡ááŒá±á¡áá±áá»á¬áž ááŸáááŒá®áž audit.log ááœáẠá¡ááŸá¬ážáá»á¬áž (avc/denial) áááŸáááá¯ááºáá«áááºá á€ááá¯á·ááŒá áºáá±á¬á¡áá«á áááºááẠáá±áááá¯ááºáá¬áá°áá«áááᯠáááºáá®ážááẠááá¯á¡ááºáááºá á¡áááºááœááºáá±á¬áºááŒáá¬ážááá·áºá¡ááá¯ááºáž audit2why ááᯠá¡áá¯á¶ážááŒá¯á á¡ááŸá¬ážá¡ááœááºážá¡á¬ážáá¯á¶ážááᯠáááºááŸá¬ááœá±á·ááá¯ááºáá«áááºá
á¡ááŸá¬ážáá»á¬ážááá¯ááŒá±ááŸááºážááẠáá±áááœááºážáá°áá«áááᯠáááºáááºáá®ážááá¯ááºáááºá á¥ááá¬á¡á¬ážááŒáá·áºá áá»áœááºá¯ááºááá¯á·ááẠhttpd (apache) ááá¯á·ááá¯áẠsmbd (samba) ááŸáá·áº áááºááá¯ááºááá·áº á¡ááŸá¬ážáá áºáá¯ááᯠáá»áœááºá¯ááºááá¯á· áááŸááááº)á áá»áœááºá¯ááºááá¯á·ááẠá¡ááŸá¬ážáá»á¬ážááᯠááá¯ááºážááŒááºááŒá®áž áááºážááá¯á·á¡ááœáẠáá°áá«ááá áºáᯠáááºáá®ážáááº-
apache
$ grep httpd_t /var/log/audit/audit.log | audit2allow -M http_policy
samba
$ grep smbd_t /var/log/audit/audit.log | audit2allow -M smb_policy
áá«áá¬ááŒá
áºáá«ááẠhttp_policy
О smb_policy
áá»áœááºá¯ááºááá¯á·áááºáá®ážáá²á·áá±á¬ áá±áááá¯ááºáá¬áá°áá«ááá»á¬ážá á¡áááºáá»á¬ážááŒá
áºáááºá ááᯠáá»áœááºá¯ááºááá¯á·ááẠá€áááºáá®ážáá¬ážáá±á¬ áá±áááá¯ááºáá¬áá°áá«ááá»á¬ážááᯠáááºááŸá SELinux áá°áá«áááœáẠááá·áºááœááºážááẠááá¯á¡ááºáá«áááºá áááºážááᯠá¡á±á¬ááºáá«á¡ááá¯ááºáž áá¯ááºáá±á¬ááºááá¯ááºáá«áááºá
$ semodule âI http_policy.pp
$ semodule âI smb_policy.pp
áá»áœááºá¯ááºááá¯á·á áá±ááá¹áááá°áá«ááá»á¬ážááᯠáá±á«ááºážáá¯ááºáá¯ááºááŒá®ážáá«ááŒá®á audit.log ááœáẠáááºááá·áº avc ááá¯á·ááá¯áẠdenail ááá¯á០áááŸááá±á¬á·áááºááá¯ááºáá«á
á€áááºááŸá¬ SELinux ááᯠáá¬ážáááºááẠáá»áœááºá¯ááºá ááŒáá¯ážáááºážááŸá¯ááŒá áºáááºá á€áá±á¬ááºážáá«ážááá¯áááºááŒá®ážáá±á¬ááºááẠSELinux ááá¯ááá¯ááá¯áááºáá±á¬áá·áºáááºáá¬áá¶á á¬ážááááá·áºáááºáá¯áá»áŸá±á¬áºááá·áºáá«áááºá
source: www.habr.com