Я пытался использовать aa-genprof для создания профиля демона Splunk. Я запустил, остановил и перезапустил Splunk. Я скачал и установил приложения из Splunkbase. Я включил входы, которые открывают сетевые порты и запускают скрипты Python.
После выполнения всех этих различных действий, когда я смотрю на профиль, сгенерированный aa-genprof, он выглядит следующим образом:
include <tunables/global>
/opt/splunk/bin/splunkd flags=(complain) {
#include <abstractions/base>
/lib/x86_64-linux-gnu/ld-*.so mr,
/opt/splunk/bin/splunkd mr,
}
Не определены возможности. Нет разрешений на чтение для файлов конфигурации. Я не вижу ничего из того, что вижу в профилях, которые нахожу в Интернете.
Я использую файл для проверки контрольных показателей CIS, поэтому демон аудита очень агрессивно проверяет поведение.
Что я делаю не так? Или это ожидаемое поведение и большинство профилей должны быть написаны от руки?
Thx.