在CentOS系统中,SELinux(Security-Enhanced Linux)的审计功能可以通过以下步骤启用:
audit2allow工具安装必要的软件包:
确保你已经安装了policycoreutils-python和audit软件包。
sudo yum install policycoreutils-python audit
启用SELinux审计:
编辑/etc/selinux/config文件,确保以下行未被注释且设置为enforcing模式:
SELINUX=enforcing
重启系统: 使配置生效。
sudo reboot
查看SELinux日志:
SELinux的审计日志通常位于/var/log/audit/audit.log。你可以使用以下命令查看日志:
sudo ausearch -m avc -ts recent
生成自定义策略模块:
如果你需要为特定的SELinux拒绝生成自定义策略模块,可以使用audit2allow工具。
sudo ausearch -m avc -ts recent | audit2allow -M mypol
这将生成一个名为mypol.pp的自定义策略模块文件。
加载自定义策略模块: 使用以下命令加载生成的策略模块:
sudo semodule -i mypol.pp
编辑SELinux配置文件:
编辑/etc/selinux/config文件,确保以下行未被注释且设置为enforcing模式:
SELINUX=enforcing
重启系统: 使配置生效。
sudo reboot
启用SELinux审计日志记录:
编辑/etc/audit/auditd.conf文件,确保以下行未被注释:
log_format = RAW
log_target = SYSLOG
重启audit服务: 使配置生效。
sudo systemctl restart auditd
查看SELinux日志:
SELinux的审计日志通常位于/var/log/audit/audit.log。你可以使用以下命令查看日志:
sudo ausearch -m avc -ts recent
通过以上步骤,你可以在CentOS系统中启用并配置SELinux的审计功能。根据你的具体需求,可以选择使用audit2allow工具生成自定义策略模块,或者手动配置SELinux审计日志记录。
