在管理selinux和自定义规则方面,我仍然是一个菜鸟。我在某种程度上理解了这个概念(只允许应用程序对某些资源具有某些权限,而不仅仅是基于user:进程和文件组的RWX)
当我需要让一切正常工作时,我通常会使用此代码段。如果我在某处代码中有问题,无论是访问文件,端口还是执行其他任务,通常都可以避免它成为问题。可能不是最好的路线,但它可以满足我的需求。
我想弄清楚如何更好地管理它,但似乎找不到有关管理当前/自定义/默认规则的信息,并以其他方式添加它们。我知道也可以使用setsebool切换/设置一些布尔设置,但除此之外,我有点迷失了。
这是我通常试图允许我做的事情时(以root用户身份)运行的东西。
sudo grep nginx /var/log/audit/audit.log | audit2allow -m nginx > nginx.te
sudo grep nginx /var/log/audit/audit.log | audit2allow -M nginx
# Make this policy package active
sudo semodule -i nginx.pp
# Cleanup
sudo rm -f nginx.te && sudo rm -f nginx.pp
运行第三行使策略包处于活动状态时,出现以下错误:
Failed to resolve typeattributeset statement at /etc/selinux/targeted/tmp/modules/100/redis/cil:82
semodule: Failed!
我也无法打开文件,因为事后/etc/selinux/targeted/tmp/不存在。