Création d'un module SeLinux personnalisé

Si certaines choses sont bloquées par SeLinux alors qu’elles sont légitimes (il faut en être bien sûr), il est possible d’ajouter des règles.

Pour voir ce qui est bloqué:

grep denied /var/log/audit/audit.log

Pour ajouter des règles, il faut passer par la création d’un module SeLinux, qui peut être automatisé via les commandes suivantes:

# grep postdrop /var/log/audit/audit.log | audit2allow -M postfixlocal

Ici un fichier .te est généré. Il peut être interessant de le lire car il y a souvent des indices pour résoudre d'une meilleur façon le soucis (via sebool).

# checkmodule -M -m -o postfixlocal.mod postfixlocal.te
# semodule_package -o postfixlocal.pp -m postfixlocal.mod
# semodule -i postfixlocal.pp

Voilà.

ps: la dernière commande est assez longue car elle injecte ces nouvelles règles à chaud.