selinux对于被拒绝的操作是会记录在系统日志的,位置在/var/log/audit/audit.log type为AVC,大括号里是操作类型,还有是否被拒绝、pid、安全上下文等等信息
selinux提供了audit2allow工具,用来分析策略日志然后生成一个使日志中被拒绝
实例如下:
相当于直接输出了一个.te文件,我们只要把输出导出成te文件,然后编译,加载即可。
需要注意的是audit2allow会粗暴地以全部通过为目的进行修改,因此需要注意不要让修改破坏了其它组件地安全。
相关文章: