Следует рассмотреть возможность использования эталонных макросов политики. Используя макросы эталонной политики, вы можете затем использовать макрос manage_files_pattern
, чтобы разрешить полный доступ, например:
manage_files_pattern(my_app_t, my_app_file_t, my_app_file_t)
Существуют также макросы для других часто используемых шаблонов, расположенные в/policy/support
в исходном источнике политики.
Если my_app_t
определяется эталонным модулем политики, скорее всего, уже существует интерфейс, который можно использовать для разрешения доступа. Интерфейсы задокументированы в справочной документации API политики (, предоставленной selinux-policy-doc
пакетом ), а также доступны онлайн (, однако они немного устарели ).
Самый простой способ создать эталонный модуль политики — использовать make-файл в пакете разработки политик SELinux(selinux-policy-devel
или аналогичный )вашего дистрибутива, например:make -f /usr/share/selinux/devel/Makefile my_app.pp
.
Эти флаги не изменяют файл конфигурации; они влияют на вызов updatedb
, к которому они присоединены, игнорируя файл конфигурации.
Итак,
sudo updatedb --prune-bind-mounts no
запускает updatedb
с PRUNE_BIND_MOUNTS
, установленным на no
, независимо от значения, установленного в файле конфигурации.
Если вы хотите изменить /etc/updatedb.conf
, отредактируйте его.