Dan WalshのSELinuxの記事

SELinux いまさら訊けない

元記事:Dan Walsh's Blog - Using audit2allow to build policy modules. Revisited.いつもながらのいい加減な訳
簡単に書けば、ログの中のAVCメッセージからaudit2allowでポリシーを作ったと、で、そのポリシーを適用したがまだAVCメッセージが出たと、では、すべてのAVCメッセージに対応するようなポリシーをどうやって作るの?という話。対処の例は3つ。

  • 前のAVCメッセージがまだ同じログに残ってれば、ログからaudit2allowでもう一度同名の.teファイルを作ってインストールすればいい
  • 前の.teファイルが残っていれば、新しいログをaudit2allowで処理した結果をappendして、そこからポリシーを作ってインストールしてもいい。この場合、gen_require情報を更新するために以下のようなコマンドが必要になるかも
# make -f /usr/share/selinux/devel/Makefile
# semodule -i myexim.pp
  • 新しいログから、新しい名前の.teファイルを作って別個にインストールすればいい。重複はうまく処理してくれる。