12/06/29 22:21:12.79 t5vd0PF5
>>555
おめでとう。 今日から君も SELinux モジュール使いだ。
ちなみに .te ファイルがテキストになっているので smbd_t 以外のルールが
入っていないか確認してからモジュールのコンパイルしたほうがいいよ。
というのも関係ないものが混入してる事が多々あるから。
あと、モジュールの作成手順だけど、
1. SELinux を Permissive にする
2. auditd を再起動。 その際にログを空にしておく
3. 許可したい動作を一通り実施
4. auditd を停止してログを回収
5. SELinux を Enforce に戻す
6. audit2allow で .te ファイルを作成して余計なものが混入してないかチェック。
( 追加の場合で古い audit.log が無い場合はテキストエディタを使って手動でマージ。 )
7. その後は checkmodule semodule_package semodule ... で適用。
って流れが良いかと。
たとえば許可しないといけない項目が a b c の3つあったときに、 Enforce のままだと、
1回目のモジュール作成で a だけ許可(b c に到達しないから auditd のログに乗らない)、
2回目のモジュール作成で a と b を許可、ようやく3回目でOK、
見たいな流れになって心が折れます。