Комментарии 4
А просто добавлять выхлоп audit2allow пока приложение не заведётся в модуль, а потом действительно денёк покурить и один раз повторить напоследок не проще?
0
Проще, но:
— audit2allow не делает правила по переходам типов ( type_transition, type_member итд )
— audit2allow делает две сотни правил вида allow service_t long_file_type_t:lnk_file { getattr };
— если не включить типы в нужные атрибуты ( что audit2allow тоже не умеет делать ), то придется писать для каждого нового типа разрешения от всех других типов ( включая unconfined_t ), что еще в сотню раз увеличит размер модуля.
— в итоге понять, к чему именно приложение попросило доступ — сложнее, чем погрепать два часа по include и найти все необходимые макросы.
— audit2allow не делает правила по переходам типов ( type_transition, type_member итд )
— audit2allow делает две сотни правил вида allow service_t long_file_type_t:lnk_file { getattr };
— если не включить типы в нужные атрибуты ( что audit2allow тоже не умеет делать ), то придется писать для каждого нового типа разрешения от всех других типов ( включая unconfined_t ), что еще в сотню раз увеличит размер модуля.
— в итоге понять, к чему именно приложение попросило доступ — сложнее, чем погрепать два часа по include и найти все необходимые макросы.
+1
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Разработка SELinux-модуля для приложения