SELinux créer un module d'exception : Différence entre versions

De TechWik
Aller à : navigation, rechercher
(Page créée avec « Objectif: se débarrasser de certaines alertes SELinux qu'on ne peut pas traiter avec restorecon, chcon. Pour cela il faut les packages policycoreutils et checkpolicy (r... »)
(Aucune différence)

Version du 22 janvier 2021 à 17:44

Objectif: se débarrasser de certaines alertes SELinux qu'on ne peut pas traiter avec restorecon, chcon.

Pour cela il faut les packages policycoreutils et checkpolicy (rhel8). On va extraire les alertes SElinux de l'audit log, créer le module texte et le compiler puis l'appliquer.

Extraire les logs (par exemple toutes les alertes): 

 # grep "avc:  denied" /var/log/audit/audit.log > mysemodule.log

Laisser dans ce fichier uniquement les lignes correspondant aux alertes à supprimer, puis générer les règles correspondantes 

 # cat mysemodule.txt | audit2allow -r > mysemodule.te

Ajouter une ligne en tête de fichier définissant le module, par exemple 

 module mysemodule 1.0.0;

Compiler le module: 

 # rm -f mysemodule.mod mysemodule.pp 
 # checkmodule -M -m -o mysemodule.mod mysemodule.te
 # semodule_package -o mysemodule.pp -m mysemodule.mod

Appliquer le module 

 # semodule -i mysemodule.pp
Récupérée de « https://wiki.tonioc.ovh/index.php?title=SELinux_créer_un_module_d%27exception&oldid=414 »