Исправление
Legioner,
(текущая версия)
:
Благодарю. Резюмирую, чего я сделал для решения, вроде пока работает.
semodule -r local
semodule -DB
setenforce permissive
systemctl start strongswan-swanctl.service && systemctl stop strongswan-swanctl.service
audit2allow -M local -b
setenforce enforcing && semodule -B
allow init_t unconfined_service_t:process siginh;
, это я удалил.checkmodule -M -m -o local.mod local.te && semodule_package -o local.pp -m local.mod
semodule -i local.pp
Результирующая политика (по сравнению с первой были добавлены getattr open search в первой строчке):
module local 1.0;
require {
type ipsec_conf_file_t;
type ipsec_mgmt_t;
type var_run_t;
class dir { getattr open read search };
class file map;
class lnk_file read;
class sock_file write;
}
allow ipsec_mgmt_t ipsec_conf_file_t:dir { getattr open read search };
allow ipsec_mgmt_t ipsec_conf_file_t:file map;
allow ipsec_mgmt_t ipsec_conf_file_t:lnk_file read;
allow ipsec_mgmt_t var_run_t:sock_file write;
Исправление
Legioner,
:
Благодарю. Резюмирую, чего я сделал для решения, вроде пока работает.
semodule -r opendkim
semodule -DB
setenforce permissive
systemctl start strongswan-swanctl.service && systemctl stop strongswan-swanctl.service
audit2allow -M local -b
setenforce enforcing && semodule -B
allow init_t unconfined_service_t:process siginh;
, это я удалил.checkmodule -M -m -o local.mod local.te && semodule_package -o local.pp -m local.mod
semodule -i local.pp
Результирующая политика (по сравнению с первой были добавлены getattr open search в первой строчке):
module local 1.0;
require {
type ipsec_conf_file_t;
type ipsec_mgmt_t;
type var_run_t;
class dir { getattr open read search };
class file map;
class lnk_file read;
class sock_file write;
}
allow ipsec_mgmt_t ipsec_conf_file_t:dir { getattr open read search };
allow ipsec_mgmt_t ipsec_conf_file_t:file map;
allow ipsec_mgmt_t ipsec_conf_file_t:lnk_file read;
allow ipsec_mgmt_t var_run_t:sock_file write;
Исходная версия
Legioner,
:
Благодарю. Резюмирую, чего я сделал для решения, вроде пока работает.
-1. Удаляем ранее сгенерированную неполную local политику: semodule -r opendkim
0. Перезагружаемся
semodule -DB
setenforce permissive
systemctl start strongswan-swanctl.service && systemctl stop strongswan-swanctl.service
audit2allow -M local -b
setenforce enforcing && semodule -B
allow init_t unconfined_service_t:process siginh;
, это я удалил.checkmodule -M -m -o local.mod local.te && semodule_package -o local.pp -m local.mod
semodule -i local.pp
Результирующая политика (по сравнению с первой были добавлены getattr open search в первой строчке):
module local 1.0;
require {
type ipsec_conf_file_t;
type ipsec_mgmt_t;
type var_run_t;
class dir { getattr open read search };
class file map;
class lnk_file read;
class sock_file write;
}
allow ipsec_mgmt_t ipsec_conf_file_t:dir { getattr open read search };
allow ipsec_mgmt_t ipsec_conf_file_t:file map;
allow ipsec_mgmt_t ipsec_conf_file_t:lnk_file read;
allow ipsec_mgmt_t var_run_t:sock_file write;