这是一个创建于 161 天前的主题,其中的信息可能已经有所发展或是发生改变。
强制模式时 setroubleshootd cpu 100%,看审计日志也都是系统组件。他自己反对自己!我真是服了。
改成许可模式,再看审计日志的时候,又没有日志了。
神经病一样的,我啥也没干,就是装了个 docker ,跑了几个容器啊。
许可模式下,没有审计日志产生。
什么情况?
我暂时把它禁用了。
改成许可模式,再看审计日志的时候,又没有日志了。
神经病一样的,我啥也没干,就是装了个 docker ,跑了几个容器啊。
许可模式下,没有审计日志产生。
什么情况?
我暂时把它禁用了。
9 条回复
 | 1 xcai 160 天前 via Android 我啥也没干,就是装了个 docker ,跑了几个容器啊。 就是装了 docker 的原因 |
 | 2 mark2025 160 天前  2 系统装完第一件事就是禁用这个。p 用没有,事情还多 |
 | 3 fgwmlhdkkkw OP @xcai 问题是许可模式下,没有审计日志。这时候容器也在执行的。 |
 | 4 Falcon1 160 天前 所以我用 Debian ,调这玩意就是折磨自己 |
| 5 Falcon1 160 天前 权限什么所有者什么的调好了,它还有个上下文,你说烦不烦 |
 | 6 james122333 160 天前 via Android 这东西要用不是不行但最好不要用 虽然我都没强烈反对 这东西与 nsa 有关 也难用 |
 | 7 yanqiyu 160 天前 via Android 可能性很多,我能想到的一个例子就是程序会先 exec 的时候变更到另外的 transition ,但是 policy 没配对,于是在 enforce 模式 transition 不过去(然后忽略了错误)导致执行出来的进程开始疯狂报错。不看一开始的日志很难判断(另外开始 log spam 的时候会干爆 setroubleshootd 确实很糟糕,我一般这时候会关掉这东西然后手动看 audit.log ) |
| 8 yanqiyu 160 天前 via Android 另外你要是用的 Fedora/RedHat 系列系统建议用 podman 启容器,docker 和 SELinux 折腾起来就是要难点 |
 | 9 guochao 142 天前 docker 对 selinux 支持的不大行,尽量上 podman 。这两年没搞公司 selinux 这块了,没注意新的工具,以前都是 audit2allow + 人肉审查生成的 type 、fcontext 和 policy ,没注意这个 se troubleshoot d #捂脸 debian 的 apparmor 也很麻烦的,但是这俩都不用吧,就得找其他的加固方案,各有各的缺点 |
Select Language