Linux

自定義 SELinux 策略模組是否可移植?

  • August 28, 2019

如果我採用創建的策略,例如audit2allow -M在多台伺服器上使用並安裝它,它會按預期工作,還是在創建策略時發生一些特殊情況?理想情況下,我想使用 Ansible 進行部署。

SELinux 策略模組是可移植的,可以在其他伺服器上複製和重用。

只要伺服器使用相同的策略(相同策略的版本都可以。)例如,如果您的所有伺服器都使用“目標”策略(這是 RHEL/CentOS/Fedora 上的預設設置),那麼您應該沒事的。一些版本差異可能是可以容忍的。

不同的策略可能彼此不兼容,因為它們定義了 SELinux 類型(本質上是標籤、名稱),這些名稱將遍布您的策略模組,因此這些模組僅在使用相同 SELinux 類型的主機中才有意義。此外,該策略模組中編碼的規則需要在策略中已經存在的其他規則的上下文中有意義。這就是為什麼您需要相同(或幾乎相同)的政策才能使其發揮作用。

但除此之外,模組本身使用可移植格式,您可以輕鬆地將它們以二進制格式發送並載入到其他機器上,而無需在目標機器上安裝建構此類模組的工具。

引用自:https://serverfault.com/questions/979460