next up previous contents
Next: 自訂 SELinux 政策二 Up: CHROOT Previous: 安全機制   Contents


自訂 SELinux 政策一

  1. 自訂允許 moodle 執行 tex 方程式編譯並轉成圖檔的 SELinux 政策模組。
    1. 首先關閉 SELinux,此時 SELinux 雖不工作,但 auditd 仍可記錄安全風險。
      [root@dywang ~]# setenforce 0
      [root@dywang ~]# getenforce 
      Permissive
      
    2. 清除 audit.log 內容後重新啟動。
      [root@dywang ~]# echo '' > /var/log/audit/audit.log
      [root@dywang ~]# /etc/init.d/auditd restart
      
    3. 打開網頁執行原被 SELinux 限制的網頁動作,此時應可正常工作。
       <run the tex equation from web>
      
    4. 此時 audit.log 已記錄安全風險,重新啟動 SELinux。
      [root@dywang ~]# setenforce 1
      
    5. 將審查的安全風險記錄,轉成 SELinux 允許的政策模組。
      [root@dywang ~]# cat /var/log/audit/audit.log|audit2allow -M httplatex
      
  2. 若已有 te (type enforcement) file,直接轉成 pp (policy package) file 匯入。
    1. te 轉成 mod
      [root@dywang ~]# checkmodule -M -m -o httpjava.mod httpjava.te
      
    2. mod 轉成 pp
      [root@dywang ~]# semodule package -o httpjava.pp -m httpjava.mod
      
  3. 加入新產生的 SELinux 政策模組。
    [root@dywang ~]# semodule -i httplatex.pp
    
  4. 查詢 SELinux 模組
    [root@dywang ~]# semodule -l | grep http
    httpdsudo	1.0	
    httpjava	1.0	
    httplatex	1.0
    
  5. 若要刪除 SELinux 模組,可使用 -r 選項,例如:
    [root@dywang ~]# semodule -r httplatex
    



2016-06-02