LINUX.ORG.RU

История изменений

Исправление Legioner, (текущая версия) :

Благодарю. Резюмирую, чего я сделал для решения, вроде пока работает.

  1. Удаляем ранее сгенерированную неполную local политику: semodule -r local
  2. Перезагружаемся
  3. Отключаем подавление этих dontaudit сообщений: semodule -DB
  4. Включаем разрешительный режим: setenforce permissive
  5. Запускаем и останавливаем сервис: systemctl start strongswan-swanctl.service && systemctl stop strongswan-swanctl.service
  6. Генерируем политику, разрешающую всё залоггированное с момента загрузки: audit2allow -M local -b
  7. Возвращаем всё в зад: setenforce enforcing && semodule -B
  8. Методом пристального взгляда модифицируем local.te. В частности у меня там было что-то, явно не относящееся к ipsec, видимо ранее подавляемое: allow init_t unconfined_service_t:process siginh;, это я удалил.
  9. Пересобираем эту самую политику, т.к. мы её поменяли: checkmodule -M -m -o local.mod local.te && semodule_package -o local.pp -m local.mod
  10. Всё, теперь вставляем её в систему и наслаждаемся: semodule -i local.pp

Результирующая политика (по сравнению с первой были добавлены getattr open search в первой строчке):

module local 1.0;

require {
        type ipsec_conf_file_t;
        type ipsec_mgmt_t;
        type var_run_t;
        class dir { getattr open read search };
        class file map;
        class lnk_file read;
        class sock_file write;
}

allow ipsec_mgmt_t ipsec_conf_file_t:dir { getattr open read search };
allow ipsec_mgmt_t ipsec_conf_file_t:file map;
allow ipsec_mgmt_t ipsec_conf_file_t:lnk_file read;
allow ipsec_mgmt_t var_run_t:sock_file write;

Исправление Legioner, :

Благодарю. Резюмирую, чего я сделал для решения, вроде пока работает.

  1. Удаляем ранее сгенерированную неполную local политику: semodule -r opendkim
  2. Перезагружаемся
  3. Отключаем подавление этих dontaudit сообщений: semodule -DB
  4. Включаем разрешительный режим: setenforce permissive
  5. Запускаем и останавливаем сервис: systemctl start strongswan-swanctl.service && systemctl stop strongswan-swanctl.service
  6. Генерируем политику, разрешающую всё залоггированное с момента загрузки: audit2allow -M local -b
  7. Возвращаем всё в зад: setenforce enforcing && semodule -B
  8. Методом пристального взгляда модифицируем local.te. В частности у меня там было что-то, явно не относящееся к ipsec, видимо ранее подавляемое: allow init_t unconfined_service_t:process siginh;, это я удалил.
  9. Пересобираем эту самую политику, т.к. мы её поменяли: checkmodule -M -m -o local.mod local.te && semodule_package -o local.pp -m local.mod
  10. Всё, теперь вставляем её в систему и наслаждаемся: semodule -i local.pp

Результирующая политика (по сравнению с первой были добавлены getattr open search в первой строчке):

module local 1.0;

require {
        type ipsec_conf_file_t;
        type ipsec_mgmt_t;
        type var_run_t;
        class dir { getattr open read search };
        class file map;
        class lnk_file read;
        class sock_file write;
}

allow ipsec_mgmt_t ipsec_conf_file_t:dir { getattr open read search };
allow ipsec_mgmt_t ipsec_conf_file_t:file map;
allow ipsec_mgmt_t ipsec_conf_file_t:lnk_file read;
allow ipsec_mgmt_t var_run_t:sock_file write;

Исходная версия Legioner, :

Благодарю. Резюмирую, чего я сделал для решения, вроде пока работает.

-1. Удаляем ранее сгенерированную неполную local политику: semodule -r opendkim 0. Перезагружаемся

  1. Отключаем подавление этих dontaudit сообщений: semodule -DB
  2. Включаем разрешительный режим: setenforce permissive
  3. Запускаем и останавливаем сервис: systemctl start strongswan-swanctl.service && systemctl stop strongswan-swanctl.service
  4. Генерируем политику, разрешающую всё залоггированное с момента загрузки: audit2allow -M local -b
  5. Возвращаем всё в зад: setenforce enforcing && semodule -B
  6. Методом пристального взгляда модифицируем local.te. В частности у меня там было что-то, явно не относящееся к ipsec, видимо ранее подавляемое: allow init_t unconfined_service_t:process siginh;, это я удалил.
  7. Пересобираем эту самую политику, т.к. мы её поменяли: checkmodule -M -m -o local.mod local.te && semodule_package -o local.pp -m local.mod
  8. Всё, теперь вставляем её в систему и наслаждаемся: semodule -i local.pp

Результирующая политика (по сравнению с первой были добавлены getattr open search в первой строчке):

module local 1.0;

require {
        type ipsec_conf_file_t;
        type ipsec_mgmt_t;
        type var_run_t;
        class dir { getattr open read search };
        class file map;
        class lnk_file read;
        class sock_file write;
}

allow ipsec_mgmt_t ipsec_conf_file_t:dir { getattr open read search };
allow ipsec_mgmt_t ipsec_conf_file_t:file map;
allow ipsec_mgmt_t ipsec_conf_file_t:lnk_file read;
allow ipsec_mgmt_t var_run_t:sock_file write;