Configurar SELINUX para permitir el registro en un archivo que está fuera de / var / log

Tengo un demonio que usa syslog (3) para iniciar sesión en un archivo que no es descendiente de / var / log. Actualmente, esto requiere que SELINUX esté deshabilitado. ¿Cómo puedo configurar un SELINUX habilitado para permitir este registro?

Soy un novato SELINUX. Cualquier orientación o consejo sería apreciado.

Tiene que cambiar el contexto de su directorio de registro. Por ejemplo, desea iniciar sesión en / mnt / extranal / log en lugar de / var / log.

Por lo tanto, debe establecer el tipo SELinux para / mnt / external / log en var_log_t, así como / var / log ya lo tiene.

Cheque

ls -Z /var

con resultado

drwxr-xr-x. root root system_u:object_r:var_log_t:s0   log

prepare su directorio de registro

mkdir /mnt/external/log

preparar reglas para etiquetar FS por SELinux

semanage fcontext -a -t var_log_t /mnt/external/log

invocar el reetiquetado de su directorio

restorecon -v /mnt/external/log

si lo has hecho, verifica

ls -Z /mnt/external

con resultado

drwxr-xr-x. root root system_u:object_r:var_log_t:s0   log

Eso es todo si no utiliza la política MLS / MCS.

Ver más detalles sobre

https://docs.fedoraproject.org/en-US/Fedora/12/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-Working_with_SELinux-SELinux_Contexts_Labeling_Files.html

https://docs.fedoraproject.org/en-US/Fedora/11/html/Security-Enhanced_Linux/sect-Security-Enhanced_Linux-SELinux_Contexts_Labeling_Files-Persistent_Changes_semanage_fcontext.html