厳密モードで実行されているSELinuxシステムをバックアップするcronジョブがあります。問題は、SELinuxがファイルシステム上のすべてのファイル(およびそのファイルのすべてのコンテキスト)へのアクセスを望んでいるため、バックアップスクリプトへのアクセスを拒否しようとしていることです。今は許可モードで実行しているので、スクリプトは機能しますが、許可モードをオフにしたいと思います。
kernel: [1491196.754521] type=1400 audit(1325232096.275:12572): avc: denied { read open } for pid=24642 comm="xfsdump" name="init.d" dev=dm-1 ino=268794309 scontext=root:sysadm_r:cronjob_t tcontext=system_u:object_r:initrc_state_t tclass=dir
厳格なポリシーを実行すると unconfined_t が許可されないように見えるため、スクリプトを unconfined_t として実行すると機能しません。
ルートのLVMスナップショットを作成してスナップショットをマウントし、xfsdumpを実行してバックアップを実行します。また、/boot パーティション (ext2) を tarball にバックアップします。
このタイプのバックアップを実行する正しい方法は何ですか?
ファイルコンテキストはバックアップされますが、適用されないファイルシステムをマウントする方法はありますか?しかし、学術的な目的でインストールできないシステム(すでにインストールされていて再インストールできないシステム)をバックアップしたい場合はどうすればよいですか?
ベストアンサー1
より具体的に説明し、どのディストリビューション/ポリシーを実行しているか教えてください。一部は必要に応じて「無制限」プロセスを許可し(man runcon)、一部は許可しません。この場合、SELinuxタイプを使用するようにバックアップスクリプトを表示する必要があります。すべてのファイルへの読み取りアクセスを許可するか、新しいアプリケーションポリシーを作成します(困難)。
編集:私はあなたが読んだと仮定しますSELinuxバックアップFAQ:使用star