Pull to refresh

Comments 4

А просто добавлять выхлоп audit2allow пока приложение не заведётся в модуль, а потом действительно денёк покурить и один раз повторить напоследок не проще?
Проще, но:
— audit2allow не делает правила по переходам типов ( type_transition, type_member итд )
— audit2allow делает две сотни правил вида allow service_t long_file_type_t:lnk_file { getattr };
— если не включить типы в нужные атрибуты ( что audit2allow тоже не умеет делать ), то придется писать для каждого нового типа разрешения от всех других типов ( включая unconfined_t ), что еще в сотню раз увеличит размер модуля.
— в итоге понять, к чему именно приложение попросило доступ — сложнее, чем погрепать два часа по include и найти все необходимые макросы.
О, спасибо. А то я ее мучил, чтобы сделать стык двух отдельных приложений у которых свои профили уже были — так там все вполне обозримо и компактно получалось.
UFO just landed and posted this here
Sign up to leave a comment.

Articles