我使用下面的命令来生成一个策略文件:
ausearch -ts today |audit2allow -M sample
它将生成两个文件:sample.te和sample.pp
sampel.te包含如下行:
allow container_t unlabeled_t:dir { add_name create remove_name rename write };
我想编辑此行以添加“读取”权限:
allow container_t unlabeled_t:dir { add_name create remove_name rename write read};
但我不知道如何将.te文件编译成.pp文件以便我可以应用它(稍后在其他节点中使用)
audit2allow man page解释了如何编译模块。如果您不使用refence策略宏,则可以直接使用checkmodule(SELinux策略编译器)和semodule_package(packager):
checkmodule -M -m -o sample.mod sample.te
semodule_package -o sample.pp -m sample.mod
如果您的策略文件中有参考策略宏(对于audit2allow使用-R
选项或在修改中使用了添加的宏),则需要安装策略开发文件(selinux-policy-dev软件包)并使用提供的makefile:
make -f /usr/share/selinux/devel/Makefile sample.pp