2006年4月 1日

[selinux-users:01486] audit2allowの威力(どもありがっとMr.Smalley)


藤原@花見 です。

ここ数時間、予備サーバ上で、referenceポリシと格闘しています。
昼間は忙しいので、早朝しかできません。

私の現在のやり方は、モノリシックにしてログからマクロを記述して
適当な.teファイルに追記して、makeして、

今まで通り動かそうと思ったんですが、無駄でした。
全く動きません。
そこで、

ちょっとわかったんですが、
audit2allowが威力を増しています。
モジュールの自動生成機能があります。
こんなんでました。

これをモジュールとしてロードすればいいのかな?
やっぱり、モノリシックじゃない方がよかったのかな?

もちろん、タイプがちゃんとふられているか自信がないので、これでいいのかは疑問ですし、
どうやってロードするかもまだ調べてないけど...。

でも、audit2allowは威力を増した感じですネ。
こういう使い方が出来れば、わたしも自作ツールなんか作る必要ないです。

[root@xxxxx ~]# audit2allow -i /var/log/audit/audit.log -m MODULE_BY_ME
module MODULE_BY_ME 1.0;

require {
role object_r;
role staff_r;
role sysadm_r;

class dir search;
class file { execute execute_no_trans ioctl read };
class process sigchld;

type checkpolicy_t;
type selinux_config_t;
type staff_su_t;
type staff_t;
type sysadm_t;
type user_home_dir_t;
type user_home_t;
};


allow checkpolicy_t selinux_config_t:file ioctl;
allow staff_su_t user_home_dir_t:dir search;
allow staff_t staff_su_t:process sigchld;
allow staff_t user_home_t:file read;
allow sysadm_t selinux_config_t:file { execute execute_no_trans };
allow sysadm_t user_home_t:file { execute execute_no_trans };

投稿者 xml-rpc : 2006年4月 1日 08:36
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/34295
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。