我遇到了一个布尔值问题SELinux,allow_ypbind在启动我的嵌入式 Linux 发行版时,该值被错误地设置为 0。
我知道在运行时我可以运行setsebool命令将其设置为 1。
我需要yocto正确配置我的发行版,但我可能无法setsebool在最终发行版上动态启动该命令。
因此,我需要将其设置SELinux boolean为离线(在第一次启动之前):是否有任何配置文件可以修改以启动,allow_ypbind=1而无需在运行时手动启动命令?
答案1
根据参考策略,所有 SELinux 布尔值都有一个默认值。考虑到安全性,大多数布尔值(如果启用)会消除某些限制。 (存在例外情况,例如secure_mode,默认情况下禁用它,但通过启用可以强制严格转换到管理用户域。)
也就是说,要覆盖默认的布尔状态,您需要在 Yocto 发行版中附带一个预构建的 SElinux 策略文件,该文件的allow_ypbind布尔值设置为1.我对 Yocto 不熟悉,但是浏览一些帖子我看到 Yocto 中的 SELinux 被调用meta-selinux并作为一层添加到 Yocto 中,并且它是从源代码构建的(发现这里)。
您必须克隆该存储库,并根据您的喜好修补策略。
祝你好运!