Am Freitag, den 12.05.2006, 15:25 +0200 schrieb Jawid Mahmoodzada:
Wie kann ich die Policy anpassen, das kiscsiadm.bin die
libiscsi.so.1
ausführen darf?
1. eine Policy generieren die erlaubt was verboten wurde (wird aus
den
logs interpretiert)
audit2allow -m local -l -i /var/log/messages
2. dann (die aushabe von oben in eine Datei umlenken > local.te):
checkmodule -M -m -o local.mod local.te
3. Policy Package generieren
semodule_package -o local.pp -m local.mod
4. Policy an den "richtigen" Aufenthaltsort kopieren
cp local.pp /usr/share/selinux/targeted/
5. Policy in den Kernel aufnehmen
semodule -i /usr/share/selinux/targeted/local.pp
WICHTIG: Bitte genau ansehen was unter Punkt 1. ausgegeben wird. Evtl
sind dort unnütze oder ungewünschte Regeln mit enthalten. Man würde
sonst unnötige Rechte erteilen. Es gibt viele Programme die versuchen
über mehrere Wege ihr Ziel zu erreichen. Ich empfehle dennoch das
Selinux Handbuch zu lesen.
Daniel