我輩は雑記帖である。名はまだない。

SELinux の ポリシ-を追加する

SELinux のポリシ-追加方法の備忘録で、audit2allow を使う方法の纏め。

 

SELinux によって操作拒否された事象のログは『/var/log/audit/audit.log』に記される。

 

下記コマンドを実行すると、拒否された理由が表示される。

audit2allow -w -a

表示される中に、『Allow access by executing: # setsebool -P ~』と有効にする必要があるポリシ-が示される場合もある。

 

下記コマンドを実行すると、拒否された操作を許可するポリシ-を自動生成してくれる。

audit2allow -a -M 生成するポリシ-名 grep 拒否された操作 /var/log/audit/audit.log | audit2allow -M 生成するポリシ-名

 

※ポリシ-名にありきたりな名前を付けると、既にあるポリシ-と重複して下記のようなエラ-メッセージが表示される (1敗)。

Failed to resolve typeattributeset statement at /etc/selinux/targeted/tmp/modules/400/fetchmail/cil:7
semodule:  Failed!

 

又、SELinux のポリシ- を自作する変態技術者 (ほめ言葉) もいる模様

 

バ-ジョン 及び インスト-ルにもよるが、audit2allowの実行すると下記エラ-が発生する場合もある。

[Errno 2] そのようなファイルやディレクトリはありません: '/etc/selinux/targeted/contexts/files/file_contexts.local'

その場合は、下記コマンドで対応した。

touch /etc/selinux/targeted/contexts/files/file_contexts.local

 

参考元

  1. Red Hat Bugzilla
  2. redhat
  3. わんこいん

 

CentOS7で作るネットワークサーバ構築ガイド (Network server construction gu)
  • 価格:¥ 4,860
  • 製造元:サーバ構築研究会
  • 販売者:Amazon.co.jp

 

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>