如何使用自定义策略设置 SELinux 布尔值?

如何使用自定义策略设置 SELinux 布尔值?

setsebool我知道 SElinux 布尔值可以通过如下方式设置:

setsebool -P virt_qemu_ga_read_nonsecurity_files 1

但我想virt_qemu_ga_read_nonsecurity_files使用自定义 SELinux 策略来设置这个布尔值。

这可能吗?我该怎么做?

答案1

SELinux 布尔值是一个开关,用于在运行时动态启用/禁用一组策略。如果您想要启用此布尔值所启用的策略而不设置布尔值,则可以将布尔值背后的策略实现为自定义 SELinux 模块,并将其添加到本地策略中。

例子:

  1. 创建文件test.te
policy_module(test, 1.0)
gen_require(`
    type virt_qemu_ga_t ;
')
files_read_non_security_files(virt_qemu_ga_t)
  1. yum -y install policycoreutils-devel
  2. make -f /usr/share/selinux/devel/Makefile test.pp
  3. semodule -i test.pp

相关内容