SELinux のポリシ-追加方法の備忘録で、audit2allow を使う方法の纏め。
SELinux によって操作拒否された事象のログは『/var/log/audit/audit.log』に記される。
下記コマンドを実行すると、拒否された理由が表示される。
audit2allow -w -a
表示される中に、『Allow access by executing: # setsebool -P ~』と有効にする必要があるポリシ-が示される場合もある。
下記コマンドを実行すると、拒否された操作を許可するポリシ-を自動生成してくれる。
audit2allow -a -M 生成するポリシ-名 grep 拒否された操作 /var/log/audit/audit.log | audit2allow -M 生成するポリシ-名
*
ポリシ-名にありきたりな名前を付けると、既にあるポリシ-と重複して下記のようなエラ-メッセージが表示される (1敗)。
Failed to resolve typeattributeset statement at /etc/selinux/targeted/tmp/modules/400/fetchmail/cil:7 semodule: Failed!
又、SELinux のポリシ- を自作する変態技術者 (ほめ言葉) もいる模様。
バ-ジョン 及び インスト-ルにもよるが、audit2allowの実行すると下記エラ-が発生する場合もある。
[Errno 2] そのようなファイルやディレクトリはありません: '/etc/selinux/targeted/contexts/files/file_contexts.local'
その場合は、下記コマンドで対応した。
touch /etc/selinux/targeted/contexts/files/file_contexts.local