Configurando o SELINUX para permitir o registro em um arquivo que está fora de / var / log

Eu tenho um daemon que usa syslog (3) para fazer logon em um arquivo que não é descendente de / var / log. Atualmente, isso requer que o SELINUX seja desativado. Como posso configurar um SELINUX ativado para permitir esse log?

Eu sou um novato na SELINUX. Qualquer orientação ou conselho seria apreciado.

Você precisa alterar o contexto do seu diretório de log. Por exemplo, você deseja fazer login em / mnt / extranal / log em vez de / var / log.

Portanto, você deve definir o tipo SELinux para / mnt / external / log como var_log_t, assim como o / var / log já possui.

Verifica

ls -Z /var

com resultado

drwxr-xr-x. root root system_u:object_r:var_log_t:s0   log

prepare seu diretório de log

mkdir /mnt/external/log

preparar regras para rotular FS pelo SELinux

semanage fcontext -a -t var_log_t /mnt/external/log

chamar a remarcação do seu diretório

restorecon -v /mnt/external/log

se você tiver feito, verifique

ls -Z /mnt/external

com resultado

drwxr-xr-x. root root system_u:object_r:var_log_t:s0   log

Isso é tudo se você não usar a política MLS / MCS.

Veja mais detalhes em

https://docs.fedoraproject.org/pt-BR/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html

https://docs.fedoraproject.org/pt-BR/Fedora/11/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-SELinux_Contexts_Labeling_Files-Persistent_Changes_semanage_fcontext.html