2007年5月15日

[selinux-users:01876] Re: selinux-policy-targeted-source の変更が原因でup2dateできないです。


中村です。

in message "[selinux-users:01875] Re: selinux-policy-targeted-source の変更が原因でup2dateできないです。",
"kondo"wrote:
> 近藤です。
>
> レスありがとうございます。

>
> > はい、昔のSELinux(ポリシモジュール機能導入以前, RedhatEL4とかFedora4以前)
> > では、ポリシーを一度修正してしまうと、rpmの管理下から外れてしまうのです。
>
> そうでしたか。
>
> > 修正箇所したは覚えていますでしょうか?
>
> ちょっと確固たる自信はないですが、たぶん...
>
> > 思いつく方法は以下です。
> > #無保証です
> > 1) ポリシの修正箇所をメモ
> > 2) /etc/selinux/targeted以下をバックアップ
> > 3) rpm -e selinux-policy-targeted-source
> > でselinux-policy-targeted-sourceをアンインストール
> > /etc/selinux/targeted/srcも完全に消す
> > 4) システムアップデート
> > 5) selinux-policy-targeted-sourceの最新版をインストール
> > 6) 1)のポリシの修正箇所に修正を加え、テスト
> > 動かない場合はとりあえず2)でバックアップしたポリシに戻す
>
> ここで、確認させてください。
> ポリシーを元にもどしてmake reloadはする必要ないでしょうか?
> (/etc/selinux/targeted/srcを消せばそもそもmakeしたものも
> 消えるのかどうかがちょっと分からなかったので...)
srcを消しても、make後のバイナリポリシとfile_contextsは消えませんです。
4)の時に新しいポリシが読まれると思います。

そういえば、4)のアップデート時に、
ラベル定義が変わっている恐れがありました。
なので、4)の後、
4.5)
load_policy
fixfiles relabel
が必要そうです。

あとは
0) permissiveモードにする
7)テスト後enforcingモードに戻す
も必要ですね。

私の場合、昔のSELinuxを使っている時は、
rpmからは外して、自分のポリシを愛用していた記憶があります。

なんといいますか、rpmを考えると、
後にポリシモジュール機能が出てきたのは必然性を感じます。

Yuichi Nakamura


投稿者 xml-rpc : 2007年5月15日 10:57
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/58599
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。