SELinux permissive mode alles loggen statt nur einmal

Bei SELinux im permissive mode werden Verletzungen der Regeln geloggt aber nicht geblockt. Dies kann z.b. für Test- und Debuggingzwecke dienlich sein.
Das Problem hierbei ist, dass im permissive mode die gleichen AVC messages (Logeinträge) nur einmal geschrieben werden. Das heist, bei der nächsten Verletzung erfolgt kein weitere Logeintrag. Dies macht natürlich Sinn, da die Prozesse ja nicht vom Verletzen der Regeln abgehalten werden und so endlose, gleiche Logeinträge produzieren. Aber auf der anderen Seite braucht zum Testen jeden einzelnen Eintrag auch wenn sie identisch sind.

Um nun dieses Verhalten entsprechend zu ändern, so dass auch im permissive mode alles ins Log geschrieben wird kann man die AVC-Cachegröße auf Null setzen.

cat /selinux/avc/cache_threshold

Den Wert merken, sollte 512 sein.

echo "0" > /selinux/avc/cache_threshold
cat /selinux/avc/cache_threshold

Um das ursprüngliche Verhalten wieder zu aktivieren schreibt man entsprechend den alten Wert zurück.

SELinux-Training