SELinux: 如何讓selinux對某些命令放行，自定義selinux規則。

1.setting selinux to permissive mode

暫時關閉selinux，讓操作進行下去，這個時候selinux還是會將記錄log到audit.log裡的

setenforce 0

2.disabling selinux dontaudit

這樣可以讓selinux沒有遺漏的記錄所有permission denied message，同樣寫入audit.log

semodule --disable_dontaudit --build

檢驗dontaudit有沒有被禁用，執行下面的命令看結果是否為空

research --dontaudit

3.back up audit.log and create new empty audit.log

cp -p /var/log/audit/audit.log /var/log/audit/audit.log.sav
echo "" > /var/log/audit/audit.log

4.run the target command

5.generate policy package file of the target command

cat /var/log/audit/audit.log | audit2allow -M Targeted-command

6.load the policy package

cd /root
semodule -i Targeted-command.pp

安裝過後系統就可以允許相關命令執行了。