我如何创build一个selinux策略来pipe理我的systemd单元?
我正在创build一个将由systemdpipe理的守护进程,我想创build一个适当的selinux策略来处理它。 我已经尝试通过手动或通过sepolicy generate等工具创build自己的策略。 但是这个过程永远不会从init_t转换出来。 我也使用systemd策略模板,但我找不到任何好的例子。 我觉得我一定会错过一些基本的东西,但我不知道它会是什么。
sepolicy输出
policy_module(foo, 1.0.0) ######################################## # # Declarations # type foo_t; type foo_exec_t; init_daemon_domain(foo_t, foo_exec_t) permissive foo_t; ######################################## # # foo local policy # allow foo_t self:fifo_file rw_fifo_file_perms; allow foo_t self:unix_stream_socket create_stream_socket_perms; domain_use_interactive_fds(foo_t) files_read_etc_files(foo_t) miscfiles_read_localization(foo_t)
ls -lZ / usr / bin / foo
-rwxr-xr-x. root root unconfined_u:object_r:foo_exec_t:s0 /usr/bin/foo
ps axufZ
system_u:system_r:init_t:s0 foo 9983 2.0 0.0 113124 1408 ? Ss 14:37 0:00 /bin/bash /usr/bin/foo