Product SiteDocumentation Site

7.3.2. Posibles Causas de las Negaciones Silenciosas

En ciertas situaciones, las negaciones AVC pueden no ser guardadas cuando SELinux niega el acceso. Las aplicaciones y las funciones de las bibliotecas del sistema a menudo prueban más accesos que los pedidos para realizar sus tareas. Para mantener el menor privilegio sin llenar los informes de auditoría con negaciones AVC para pruebas sin peligro de las aplicaciones, la política puede silenciar las negaciones AVC sin permitir el uso de reglas dontaudit. Estas reglas son comúnes en la política estándar. La contraparte de dontaudit es que, aunque SELinux niega el acceso, los mensajes no se guardan, lo que dificulta resolver el problema.
Deshabilite temporalmente las reglas dontaudit, permitiendo que se guarden todas las negaciones, ejecute el siguiente comando como usuario root de Linux:
/usr/sbin/semodule -DB
La opción -D deshabilita las reglas dontaudit; la opción -B reconstruye la política. Después de ejcutar semodule -DB, pruebe ejercitar la aplicación que tuvo problemas de permisos, y vea si ahora se guardan negaciones de SELinux relacionadas con la aplicación. Tenga cuidado con la decición de qué negaciones se deben permitir, dado que algunas se deben ignorar y manejarse vía reglas dontaudit. Si tiene duda, o busca alguna guía, contacte a otros usuarios y desarrolladores de SELinux en una lista de SELinux, tal como fedora-selinux-list.
Para reconstruir la política y habilitar las reglas dontaudit, ejecute el siguiente comando como usuario root de Linux:
/usr/sbin/semodule -B
Esto restaura la política a su estado original. Para una lista completa de las reglas dontaudit, corra el comando sesearch --dontaudit. Búsquedas más refinadas usando la opción -s dominio y el comando grep. Por ejemplo:
$ sesearch --dontaudit -s smbd_t | grep squid
WARNING: This policy contained disabled aliases; they have been removed.
dontaudit smbd_t squid_port_t : tcp_socket name_bind ;
dontaudit smbd_t squid_port_t : udp_socket name_bind ;

Refer to Sección 7.3.6, “Raw Audit Messages” and Sección 7.3.7, “Mensajes sealert” for information about analyzing denials.