SELinux anpassen
Daniel Rindt
daniel at rindt.name
Sun May 14 10:15:08 UTC 2006
Am Freitag, den 12.05.2006, 15:25 +0200 schrieb Jawid Mahmoodzada:
> Wie kann ich die Policy anpassen, das kiscsiadm.bin die libiscsi.so.1
> ausführen darf?
1. eine Policy generieren die erlaubt was verboten wurde (wird aus den
logs interpretiert)
audit2allow -m local -l -i /var/log/messages
2. dann (die aushabe von oben in eine Datei umlenken > local.te):
checkmodule -M -m -o local.mod local.te
3. Policy Package generieren
semodule_package -o local.pp -m local.mod
4. Policy an den "richtigen" Aufenthaltsort kopieren
cp local.pp /usr/share/selinux/targeted/
5. Policy in den Kernel aufnehmen
semodule -i /usr/share/selinux/targeted/local.pp
WICHTIG: Bitte genau ansehen was unter Punkt 1. ausgegeben wird. Evtl
sind dort unnütze oder ungewünschte Regeln mit enthalten. Man würde
sonst unnötige Rechte erteilen. Es gibt viele Programme die versuchen
über mehrere Wege ihr Ziel zu erreichen. Ich empfehle dennoch das
Selinux Handbuch zu lesen.
Daniel
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Dies ist ein digital signierter Nachrichtenteil
URL: <http://listman.redhat.com/archives/fedora-de-list/attachments/20060514/fe6bc33b/attachment.sig>
More information about the Fedora-de-list
mailing list