SELINUX
Liste des modules
semodule -l
Audit et autorisation
Pour lister les échecs et transformer en configuration selinux
grep -v success /var/log/audit/audit.log |grep -v LOGIN |audit2allow
Mettre en place un module
Les resultats de la commande audit2allow peuvent être prise en compte avec un nouveau module. Editer le fichier <mon module>.te, exmeple webapp.te:
module webapp 1.1;
require {
type admin_home_t;
type var_t;
type cert_t;
type httpd_t;
type awstats_t;
class capability sys_resource;
class file { write create execute getattr open read ioctl execute_no_trans };
class dir {read search write add_name create setattr};
}
#============= httpd_t ==============
allow httpd_t cert_t:file write;
allow httpd_t self:capability sys_resource;
#============= awstats_t ==============
allow awstats_t admin_home_t:dir read;
allow awstats_t var_t:dir read;
Pour le mettre en place il faut lancer la suite de commande:
checkmodule -M -m -o webapp.mod webapp.te semodule_package -o webapp.pp -m webapp.mod
Install or upgrade:
semodule -i webapp.pp
Remove:
semodule -r webapp
