On [Wed, 11.04.2007 20:56], Jens Wefer wrote:
hey,
ich hab für nee GPL opensource Web/Datenbank Anwendung ein RPM paket
gebaut. funktieniert auch gut.
ich bin grad dabei das spec file an die guidelines anzupassen und
Dokumentation zu erstellen.
Auf meinem fc6 Server hab ich mit:
audit2allow -m local -l -i /var/log/messages
checkmodule -M -m -o local.mod local.te
semodule_package -o local.pp -m local.mod
cp local.pp /usr/share/selinux/targeted/
semodule -i /usr/share/selinux/targeted/local.pp
neue policy's erstellt.
Ist ziemlich umständlich weil man das auch öfter aufrufen muss,
ausserdem ist das otto-normal-user auch nicht zuzumuten.
SELinux Regeln zu erstellen ist ein iterativer Prozess. Und Otto-Normal
User hat an einem solchen Regelwerk auch nix zu suchen. :)
kann ich die policy per rpm anpassen
Ja. Steht alles unter
http://fedoraproject.org/wiki/PackagingDrafts/SELinux
beschrieben. Kurz zusammengefasst:
* Erstelle die notwendigen Type-Enforcement-, File-Context- und
Interface-Files und packe diese in deinen Source-Folder.
* Erzeuge in %install das SELinux *.pp-Modul welches Du dann in %post
mittels semodule -i modul.pp lädst.
* Sorge mittels restorecon dafür das die Objekte deiner Applikationen das
passende Label bekommen.
* Sorge für den Fall der Deinstallation deines Paketes dafür das alles
rückgangig gemacht wird.
oder muss ich dem user den rat geben SELinux zu deaktivieren?
Nein.
bye, jens.
Happy Day.
Thorsten