Meaningless Notebook

我輩は雑記帖である。名はまだない。


SELinux のポリシ-追加方法の備忘録で、audit2allow を使う方法の纏め。

SELinux によって操作拒否された事象のログは『/var/log/audit/audit.log』に記される。

下記コマンドを実行すると、拒否された理由が表示される。

audit2allow -w -a

表示される中に、『Allow access by executing: # setsebool -P ~』と有効にする必要があるポリシ-が示される場合もある。

下記コマンドを実行すると、拒否された操作を許可するポリシ-を自動生成してくれる。

audit2allow -a -M 生成するポリシ-名 grep 拒否された操作 /var/log/audit/audit.log | audit2allow -M 生成するポリシ-名

*

ポリシ-名にありきたりな名前を付けると、既にあるポリシ-と重複して下記のようなエラ-メッセージが表示される (1敗)。

Failed to resolve typeattributeset statement at /etc/selinux/targeted/tmp/modules/400/fetchmail/cil:7
semodule:  Failed!

又、SELinux のポリシ- を自作する変態技術者 (ほめ言葉) もいる模様。

バ-ジョン 及び インスト-ルにもよるが、audit2allowの実行すると下記エラ-が発生する場合もある。

[Errno 2] そのようなファイルやディレクトリはありません: '/etc/selinux/targeted/contexts/files/file_contexts.local'

その場合は、下記コマンドで対応した。

touch /etc/selinux/targeted/contexts/files/file_contexts.local

参考元

  1. Red Hat Bugzilla
  2. redhat
  3. わんこいん

Amazon