Если я возьму политику, созданную, скажем, с использованием audit2allow -M и установить его на нескольких серверах, будет ли он работать должным образом или при создании политик происходит что-то особенное? В идеале я бы хотел развернуть с помощью Ansible.
Модули политики SELinux переносимы и могут быть скопированы и повторно использованы на других серверах.
Пока серверы используют одни и те же политики (допустимы версии одних и тех же политик). Например, если все ваши серверы используют «целевую» политику (которая используется по умолчанию в RHEL / CentOS / Fedora), тогда вам следует быть в порядке. Некоторые различия версий могут быть допустимыми.
Отдельные политики могут быть несовместимы друг с другом, поскольку они определяют типы SELinux (по сути, метки, имена), эти имена будут присутствовать во всех ваших модулях политики, поэтому модули имеют смысл только на хостах, которые используют одни и те же типы SELinux. Кроме того, правила, закодированные в этом модуле политики, должны иметь смысл в контексте других правил, уже включенных в политику. Вот почему вам нужна такая же (или почти такая же) политика, чтобы это работало.
Но кроме этого, сами модули используют переносимый формат, вы можете легко отправить их в двоичном формате и загрузить на другие машины без необходимости установки инструментов, которые создают такие модули на целевых машинах.