Я намерен использовать режим selinux «принудительно». Сначала я загружаюсь в разрешающем режиме (принудительное выполнение = 0 в командной строке ядра). После входа в систему я собираю все нарушения политики selinux из журналов auditd и пытаюсь создать модуль selinux, чтобы разрешить такие действия, но получаю «никогда не нарушаются»
root@amalthea:~# ausearch -m avc > ausearch.result
root@amalthea:~# cat ausearch.result | audit2allow -M local
******************** IMPORTANT ***********************
To make this policy package active, execute:
semodule -i local.pp
root@amalthea:~# semodule -v -i local.pp
Attempting to install module 'local.pp':
Ok: return value of 0.
Committing changes:
libsepol.check_assertion_helper: neverallow violated by allow system_dbusd_t shadow_t:file { read };
libsemanage.semanage_expand_sandbox: Expand module failed
semodule: Failed!
Как это происходит, если текущая политика НЕ имеет никаких разрешений?
root@amalthea:~# seinfo | egrep -i 'constraints|neverallow'
Allow: 55455 Neverallow: 0
Constraints: 137 Validatetrans: 0
заранее спасибо
update1 Я установил исходный код с политикой selinux и получил в нем «neverallow». Но я не понимаю, почему seinfo говорит, что в текущей политике нет запрета.
root@amalthea:~# seinfo | egrep -i 'constraints|neverallow'
Allow: 55455 Neverallow: 0
Constraints: 137 Validatetrans: 0