hey, ich hab für nee GPL opensource Web/Datenbank Anwendung ein RPM paket gebaut. funktieniert auch gut. ich bin grad dabei das spec file an die guidelines anzupassen und Dokumentation zu erstellen. Auf meinem fc6 Server hab ich mit: audit2allow -m local -l -i /var/log/messages checkmodule -M -m -o local.mod local.te semodule_package -o local.pp -m local.mod cp local.pp /usr/share/selinux/targeted/ semodule -i /usr/share/selinux/targeted/local.pp neue policy's erstellt.
Ist ziemlich umständlich weil man das auch öfter aufrufen muss, ausserdem ist das otto-normal-user auch nicht zuzumuten.
kann ich die policy per rpm anpassen oder muss ich dem user den rat geben SELinux zu deaktivieren? bye, jens.
On Mi April 11 2007, Jens Wefer wrote:
kann ich die policy per rpm anpassen oder muss ich dem user den rat geben SELinux zu deaktivieren?
Es geht per RPM, ein wenig Doku dazu: http://fedoraproject.org/wiki/PackagingDrafts/SELinux
Wie es im Detail geht und so weiß ich leider auch alles nicht :-(
Grüße, Till
On [Wed, 11.04.2007 20:56], Jens Wefer wrote:
hey, ich hab für nee GPL opensource Web/Datenbank Anwendung ein RPM paket gebaut. funktieniert auch gut. ich bin grad dabei das spec file an die guidelines anzupassen und Dokumentation zu erstellen. Auf meinem fc6 Server hab ich mit: audit2allow -m local -l -i /var/log/messages checkmodule -M -m -o local.mod local.te semodule_package -o local.pp -m local.mod cp local.pp /usr/share/selinux/targeted/ semodule -i /usr/share/selinux/targeted/local.pp neue policy's erstellt.
Ist ziemlich umständlich weil man das auch öfter aufrufen muss, ausserdem ist das otto-normal-user auch nicht zuzumuten.
SELinux Regeln zu erstellen ist ein iterativer Prozess. Und Otto-Normal User hat an einem solchen Regelwerk auch nix zu suchen. :)
kann ich die policy per rpm anpassen
Ja. Steht alles unter http://fedoraproject.org/wiki/PackagingDrafts/SELinux beschrieben. Kurz zusammengefasst:
* Erstelle die notwendigen Type-Enforcement-, File-Context- und Interface-Files und packe diese in deinen Source-Folder.
* Erzeuge in %install das SELinux *.pp-Modul welches Du dann in %post mittels semodule -i modul.pp lädst.
* Sorge mittels restorecon dafür das die Objekte deiner Applikationen das passende Label bekommen.
* Sorge für den Fall der Deinstallation deines Paketes dafür das alles rückgangig gemacht wird.
oder muss ich dem user den rat geben SELinux zu deaktivieren?
Nein.
bye, jens.
Happy Day. Thorsten
de-users@lists.fedoraproject.org