web-dev-qa-db-ja.com

カスタムSELinuxポリシーモジュールは移植可能ですか?

たとえば、audit2allow -Mを使用して作成されたポリシーを取得し、それを複数のサーバーにインストールした場合、期待どおりに機能しますか、それともポリシーの作成時に何か特別なことが起こりますか?理想的には、Ansibleを使用してデプロイしたいと思います。

3
Mark C

SELinuxポリシーモジュールは移植可能であり、コピーして他のサーバーで再利用できます。

サーバーが同じポリシーを使用している限り(同じポリシーのバージョンは問題ありません)。たとえば、すべてのサーバーが「ターゲット」ポリシー(RHEL/CentOS/Fedoraのデフォルト)を使用している場合は、次のようにする必要があります。大丈夫です。いくつかのバージョンの違いは許容できるかもしれません。

個別のポリシーは、SELinuxタイプ(基本的にラベル、名前)を定義するため、互いに互換性がない可能性があります。これらの名前はポリシーモジュール全体に存在するため、モジュールは同じSELinuxタイプを使用しているホストでのみ意味があります。さらに、そのポリシーモジュールにエンコードされたルールは、すでにポリシーに含まれている他のルールとの関連で意味をなす必要があります。そのため、これを機能させるには同じ(またはほぼ同じ)ポリシーが必要です。

ただし、それ以外は、モジュール自体がポータブル形式を使用しているため、ターゲットマシンにそのようなモジュールを構築するツールをインストールしなくても、バイナリ形式で簡単に出荷して他のマシンにロードできます。

3
filbranden