История изменений
Исправление
Legioner,
(текущая версия)
:
Благодарю. Резюмирую, чего я сделал для решения, вроде пока работает.
- Удаляем ранее сгенерированную неполную local политику:
semodule -r local
- Перезагружаемся
- Отключаем подавление этих dontaudit сообщений:
semodule -DB
- Включаем разрешительный режим:
setenforce permissive
- Запускаем и останавливаем сервис:
systemctl start strongswan-swanctl.service && systemctl stop strongswan-swanctl.service
- Генерируем политику, разрешающую всё залоггированное с момента загрузки:
audit2allow -M local -b
- Возвращаем всё в зад:
setenforce enforcing && semodule -B
- Методом пристального взгляда модифицируем local.te. В частности у меня там было что-то, явно не относящееся к ipsec, видимо ранее подавляемое:
allow init_t unconfined_service_t:process siginh;
, это я удалил. - Пересобираем эту самую политику, т.к. мы её поменяли:
checkmodule -M -m -o local.mod local.te && semodule_package -o local.pp -m local.mod
- Всё, теперь вставляем её в систему и наслаждаемся:
semodule -i local.pp
Результирующая политика (по сравнению с первой были добавлены getattr open search в первой строчке):
module local 1.0;
require {
type ipsec_conf_file_t;
type ipsec_mgmt_t;
type var_run_t;
class dir { getattr open read search };
class file map;
class lnk_file read;
class sock_file write;
}
allow ipsec_mgmt_t ipsec_conf_file_t:dir { getattr open read search };
allow ipsec_mgmt_t ipsec_conf_file_t:file map;
allow ipsec_mgmt_t ipsec_conf_file_t:lnk_file read;
allow ipsec_mgmt_t var_run_t:sock_file write;
Исправление
Legioner,
:
Благодарю. Резюмирую, чего я сделал для решения, вроде пока работает.
- Удаляем ранее сгенерированную неполную local политику:
semodule -r opendkim
- Перезагружаемся
- Отключаем подавление этих dontaudit сообщений:
semodule -DB
- Включаем разрешительный режим:
setenforce permissive
- Запускаем и останавливаем сервис:
systemctl start strongswan-swanctl.service && systemctl stop strongswan-swanctl.service
- Генерируем политику, разрешающую всё залоггированное с момента загрузки:
audit2allow -M local -b
- Возвращаем всё в зад:
setenforce enforcing && semodule -B
- Методом пристального взгляда модифицируем local.te. В частности у меня там было что-то, явно не относящееся к ipsec, видимо ранее подавляемое:
allow init_t unconfined_service_t:process siginh;
, это я удалил. - Пересобираем эту самую политику, т.к. мы её поменяли:
checkmodule -M -m -o local.mod local.te && semodule_package -o local.pp -m local.mod
- Всё, теперь вставляем её в систему и наслаждаемся:
semodule -i local.pp
Результирующая политика (по сравнению с первой были добавлены getattr open search в первой строчке):
module local 1.0;
require {
type ipsec_conf_file_t;
type ipsec_mgmt_t;
type var_run_t;
class dir { getattr open read search };
class file map;
class lnk_file read;
class sock_file write;
}
allow ipsec_mgmt_t ipsec_conf_file_t:dir { getattr open read search };
allow ipsec_mgmt_t ipsec_conf_file_t:file map;
allow ipsec_mgmt_t ipsec_conf_file_t:lnk_file read;
allow ipsec_mgmt_t var_run_t:sock_file write;
Исходная версия
Legioner,
:
Благодарю. Резюмирую, чего я сделал для решения, вроде пока работает.
-1. Удаляем ранее сгенерированную неполную local политику: semodule -r opendkim
0. Перезагружаемся
- Отключаем подавление этих dontaudit сообщений:
semodule -DB
- Включаем разрешительный режим:
setenforce permissive
- Запускаем и останавливаем сервис:
systemctl start strongswan-swanctl.service && systemctl stop strongswan-swanctl.service
- Генерируем политику, разрешающую всё залоггированное с момента загрузки:
audit2allow -M local -b
- Возвращаем всё в зад:
setenforce enforcing && semodule -B
- Методом пристального взгляда модифицируем local.te. В частности у меня там было что-то, явно не относящееся к ipsec, видимо ранее подавляемое:
allow init_t unconfined_service_t:process siginh;
, это я удалил. - Пересобираем эту самую политику, т.к. мы её поменяли:
checkmodule -M -m -o local.mod local.te && semodule_package -o local.pp -m local.mod
- Всё, теперь вставляем её в систему и наслаждаемся:
semodule -i local.pp
Результирующая политика (по сравнению с первой были добавлены getattr open search в первой строчке):
module local 1.0;
require {
type ipsec_conf_file_t;
type ipsec_mgmt_t;
type var_run_t;
class dir { getattr open read search };
class file map;
class lnk_file read;
class sock_file write;
}
allow ipsec_mgmt_t ipsec_conf_file_t:dir { getattr open read search };
allow ipsec_mgmt_t ipsec_conf_file_t:file map;
allow ipsec_mgmt_t ipsec_conf_file_t:lnk_file read;
allow ipsec_mgmt_t var_run_t:sock_file write;