On [Wed, 11.04.2007 20:56], Jens Wefer wrote:
hey, ich hab für nee GPL opensource Web/Datenbank Anwendung ein RPM paket gebaut. funktieniert auch gut. ich bin grad dabei das spec file an die guidelines anzupassen und Dokumentation zu erstellen. Auf meinem fc6 Server hab ich mit: audit2allow -m local -l -i /var/log/messages checkmodule -M -m -o local.mod local.te semodule_package -o local.pp -m local.mod cp local.pp /usr/share/selinux/targeted/ semodule -i /usr/share/selinux/targeted/local.pp neue policy's erstellt.
Ist ziemlich umständlich weil man das auch öfter aufrufen muss, ausserdem ist das otto-normal-user auch nicht zuzumuten.
SELinux Regeln zu erstellen ist ein iterativer Prozess. Und Otto-Normal User hat an einem solchen Regelwerk auch nix zu suchen. :)
kann ich die policy per rpm anpassen
Ja. Steht alles unter http://fedoraproject.org/wiki/PackagingDrafts/SELinux beschrieben. Kurz zusammengefasst:
* Erstelle die notwendigen Type-Enforcement-, File-Context- und Interface-Files und packe diese in deinen Source-Folder.
* Erzeuge in %install das SELinux *.pp-Modul welches Du dann in %post mittels semodule -i modul.pp lädst.
* Sorge mittels restorecon dafür das die Objekte deiner Applikationen das passende Label bekommen.
* Sorge für den Fall der Deinstallation deines Paketes dafür das alles rückgangig gemacht wird.
oder muss ich dem user den rat geben SELinux zu deaktivieren?
Nein.
bye, jens.
Happy Day. Thorsten