Как изменить файл .te, созданный Audit2allow и перекомпилировать его в файл .pp

Question

Я использовал приведенную ниже команду для создания файла политики:

ausearch  -ts today |audit2allow -M sample

он сгенерирует два файла: sample.te и sample.pp

sampel.te содержит такие строки, как:

allow container_t unlabeled_t:dir { add_name create remove_name rename write };

Я хочу отредактировать эту строку, чтобы добавить разрешение на чтение:

allow container_t unlabeled_t:dir { add_name create remove_name rename write read};

Но я не знаю, как скомпилировать файл .te в файл .pp так, чтобыЯ могу применить его (используется позже и в других узлах)

Answer 1

audit2allow Страница man объясняет, как скомпилировать модуль. Если вы не используете макросы политики защиты, вы можете напрямую использовать checkmodule (компилятор политики SELinux) и semodule_package (упаковщик):

checkmodule -M -m -o sample.mod sample.te
semodule_package -o sample.pp -m sample.mod

Если в вашем файле политики есть макросы ссылочной политики (используется опция -R для audit2allow или добавлены макросы в ваших модификациях), вам нужны файлы разработки политики ( selinux-policy -dev package) установить и использовать предоставленный make-файл:

make -f /usr/share/selinux/devel/Makefile sample.pp