Score:2

เหตุใดข้อผิดพลาดการอนุญาตนักเทียบท่าจึงไม่ถูกบันทึกโดย selinux

ธง cn

หากคุณพยายามผูกเมานต์ไดเร็กทอรีลงในคอนเทนเนอร์ภายใต้ Red Hat คุณอาจมีปัญหากับ เซลินุกซ์. ไดเรกทอรีจะไม่สามารถอ่านได้จากภายในคอนเทนเนอร์ เว้นแต่คุณจะเพิ่ม ซี/Z ตัวเลือกระดับเสียง.

แต่สิ่งที่ฉันไม่เข้าใจคือทำไมฉันไม่เห็นข้อผิดพลาดที่เกี่ยวข้องใน /var/log/audit/audit.log. แน่นอนหลังจาก:

sudo semodule --disable_dontaudit -- สร้าง

พวกเขาเริ่มเข้าสู่ระบบ:

type=AVC msg=audit(1624806449.148:2225): avc: ปฏิเสธ { อ่าน } สำหรับ pid=34576
comm="ls" ชื่อ="a" dev="xvda2" ino=8546053
scontext=system_u:system_r:container_t:s0:c48,c319
tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir อนุญาต=0

แต่กฎข้อใดที่ปิดใช้งานการบันทึก ฉันเห็น:

$ การค้นหา --dontaudit | grep คอนเทนเนอร์_t
ไม่ต้องตรวจสอบ container_t container_t:ความสามารถในการตรวจสอบ_เขียน; [ virt_sandbox_use_netlink ]:เท็จ
ไม่ต้องตรวจสอบ container_t container_t: ความสามารถ { fsetid net_admin sys_module };
ไม่ต้องตรวจสอบ container_t container_t:capability2 block_suspend;
ไม่ต้องตรวจสอบ container_t container_t:dir { add_name เขียน };
ไม่ต้องตรวจสอบ container_t container_t:สร้างไฟล์;
dontaudit container_t container_t:netlink_audit_socket { ต่อท้ายผูกเชื่อมต่อสร้าง getattr getopt ล็อค ioctl nlmsg_read nlmsg_relay อ่าน setattr setopt ปิดการเขียน }; [ virt_sandbox_use_netlink ]:เท็จ
ไม่ต้องตรวจสอบ container_t container_t:udp_socket ฟัง;

เป็นหนึ่งในนั้นหรือไม่? หรืออย่างอื่น?

ฉันใช้งานอินสแตนซ์ Red Hat บน AWS:

Red Hat Enterprise Linux 8 พร้อมความพร้อมใช้งานสูง - ami-06ec8443c2a35b0ba

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา