SELinux créer un module d'exception : Différence entre versions
(Page créée avec « Objectif: se débarrasser de certaines alertes SELinux qu'on ne peut pas traiter avec restorecon, chcon. Pour cela il faut les packages policycoreutils et checkpolicy (r... ») |
m |
||
| Ligne 20 : | Ligne 20 : | ||
Appliquer le module | Appliquer le module | ||
# semodule -i mysemodule.pp | # semodule -i mysemodule.pp | ||
| + | |||
| + | [[Category:Linux]] | ||
| + | [[Category:SELinux]] | ||
Version actuelle datée du 22 janvier 2021 à 17:46
Objectif: se débarrasser de certaines alertes SELinux qu'on ne peut pas traiter avec restorecon, chcon.
Pour cela il faut les packages policycoreutils et checkpolicy (rhel8). On va extraire les alertes SElinux de l'audit log, créer le module texte et le compiler puis l'appliquer.
Extraire les logs (par exemple toutes les alertes):
# grep "avc: denied" /var/log/audit/audit.log > mysemodule.log
Laisser dans ce fichier uniquement les lignes correspondant aux alertes à supprimer, puis générer les règles correspondantes
# cat mysemodule.txt | audit2allow -r > mysemodule.te
Ajouter une ligne en tête de fichier définissant le module, par exemple
module mysemodule 1.0.0;
Compiler le module:
# rm -f mysemodule.mod mysemodule.pp # checkmodule -M -m -o mysemodule.mod mysemodule.te # semodule_package -o mysemodule.pp -m mysemodule.mod
Appliquer le module
# semodule -i mysemodule.pp
