audit2allowcrea módulos de políticas detallados, pero a menudo insinúa que un booleano existente representa un superconjunto de una línea de política. Por ejemplo:
#!!!! This avc can be allowed using the boolean 'domain_kernel_load_modules'
allow collectd_t kernel_t:system module_request;
Es posible quereemplazar la allowlínea con una referencia al booleano(en el módulo de políticas en lugar de semanage boolean --modify --on domain_kernel_load_modules)? Parece que no puedo encontrar ninguna referencia a tal sintaxis.
Respuesta1
Si desea habilitar un booleano, no es necesario crear un módulo, hasta donde yo sé, no hay sintaxis.
En su lugar puedes ejecutar:
$ setsebool -P domain_kernel_load_modules on
Mientras-PAGhará que el cambio sea persistente.