如何创建 selinux 策略来管理我的 systemd 单元?
我正在创建一个由 systemd 管理的守护进程,我想创建一个适当的 selinux 策略来配合它。我尝试手动或通过 等工具创建自己的策略sepolicy generate。但这个过程从未过渡出来init_t。我也尝试过使用systemd 策略模板但我找不到任何好的例子。我觉得我一定缺少了一些基本的东西,但我不知道那是什么。
sepolicy 输出
policy_module(foo, 1.0.0)
########################################
#
# Declarations
#
type foo_t;
type foo_exec_t;
init_daemon_domain(foo_t, foo_exec_t)
permissive foo_t;
########################################
#
# foo local policy
#
allow foo_t self:fifo_file rw_fifo_file_perms;
allow foo_t self:unix_stream_socket create_stream_socket_perms;
domain_use_interactive_fds(foo_t)
files_read_etc_files(foo_t)
miscfiles_read_localization(foo_t)
ls -lZ /usr/bin/foo
-rwxr-xr-x. root root unconfined_u:object_r:foo_exec_t:s0 /usr/bin/foo
ps 基因
system_u:system_r:init_t:s0 foo 9983 2.0 0.0 113124 1408 ? Ss 14:37 0:00 /bin/bash /usr/bin/foo