audit2allow: générer un module SELinux minimal

Transformer des denials AVC récents en règle autorisante packagée (module).

bash security #selinux #audit2allow #policy

16 août 2025

objectif

Débloquer un cas spécifique en produisant un module ciblé et traçable.

code minimal

# examiner les denials récents
sudo ausearch -m avc -ts recent | audit2allow -m myapp -o myapp.te

# construire et charger
checkmodule -M -m -o myapp.mod myapp.te
semodule_package -o myapp.pp -m myapp.mod
sudo semodule -i myapp.pp

utilisation

# lister modules
semodule -l | grep myapp || true

variante(s) utile(s)

# générer et installer en une passe (rapide, moins contrôlé)
sudo ausearch -m avc -ts recent | audit2allow -M myapp && sudo semodule -i myapp.pp

notes

auditez ce que vous autorisez; évitez les règles trop larges.
préférez booleans/semanage si suffisant.