自訂 SELinux 策略一

1. 自訂允許 moodle 執行 tex 方程式編譯並轉成圖檔的 SELinux 策略模組。
   1. 首先關閉 SELinux，此時 SELinux 雖不工作，但 auditd 仍可記錄安全風險。

      [root@dywang ~]# setenforce 0
      [root@dywang ~]# getenforce 
      Permissive
      

   2. 清除 audit.log 內容後重新啟動。

      [root@dywang ~]# echo '' > /var/log/audit/audit.log
      [root@dywang ~]# /etc/init.d/auditd restart
      

   3. 打開網頁執行原被 SELinux 限制的網頁動作，此時應可正常工作。

       <run the tex equation from web>
      

   4. 此時 audit.log 已記錄安全風險，重新啟動 SELinux。

      [root@dywang ~]# setenforce 1
      

   5. 將審查的安全風險記錄，轉成 SELinux 允許的策略模組。

      [root@dywang ~]# cat /var/log/audit/audit.log|audit2allow -M httplatex
      

2. 若已有 te (type enforcement) file，直接轉成 pp (policy package) file 匯入。
   1. te 轉成 mod

      [root@dywang ~]# checkmodule -M -m -o httpjava.mod httpjava.te
      

   2. mod 轉成 pp

      [root@dywang ~]# semodule package -o httpjava.pp -m httpjava.mod
      

3. 加入新產生的 SELinux 策略模組。

   [root@dywang ~]# semodule -i httplatex.pp
   

4. 查詢 SELinux 模組

   [root@dywang ~]# semodule -l | grep http
   httpdsudo	1.0	
   httpjava	1.0	
   httplatex	1.0
   

5. 若要刪除 SELinux 模組，可使用 -r 選項，例如：

   [root@dywang ~]# semodule -r httplatex