audit2allow라는 프로그램

audit2allow라는 프로그램은 이 에러를 가지고 해당하는 프로세서에 권한을 주는 정책 파일을 자동으로 생성시켜준다. 예를 들면 이런 식으로 사용한다.

   1  grep httpd audit.log | audit2allow -M httpd

이 명령은 audit.log에서 httpd가 나온 로그를 전부 audit2allow로 넘겨서 권한 정책 파일을 출력하도록 한다. 이렇게 하면 .pp 파일과 .te 파일이 만들어진다. pp파일은 새로운 권한 정책을 적용하는 하는 데 사용하고, .te 파일은 새로 어떤 권한 정책이 추가되는지를 담고 있다. audit2allow가 제대로 실행됐으면 그 다음에 .pp 파일을 어떻게 적용하는지 보여주는데 다음과 같다.

   1  semodule -i httpd.pp

조금 시간이 걸리는데, 이렇게 하면 새로운 권한 정책이 적용된다. 조금 팁을 더해보자면 audit2allow로 생성되는 권한 정책은 에러메시지가 난 부분에 대해서만 정책을 생성한다. 예를 들어 파일을 생성하다 에러가 났으면 파일 생성 권한만 추가하고 삭제나 변경 읽기 등은 여전히 불가능할 수 있다. 이런 명령들을 하나하나 에러를 내고 .pp 파일을 만들면 권한 설정이 가능하다. 마찬가지로 일일이 권한이 필요한 에러만 찾아서 audit2allow에 보낼 수도 있다. 꽤나 무식한 방법이긴 한데, selinux의 권한 편집이란 게 텍스트 파일 편집하는 식이 아니라서 이런 방법이 제일 쉬울지도 모른다