1.setting selinux to permissive mode
暂时关闭selinux,让操作进行下去,这个时候selinux还是会将记录log到audit.log里的
setenforce 0
2.disabling selinux dontaudit
这样可以让selinux没有遗漏的记录所有permission denied message,同样写入audit.log
semodule --disable_dontaudit --build
检验dontaudit有没有被禁用,运行下面的命令看结果是否为空
research --dontaudit
3.back up audit.log and create new empty audit.log
cp -p /var/log/audit/audit.log /var/log/audit/audit.log.sav
echo "" > /var/log/audit/audit.log
4.run the target command
5.generate policy package file of the target command
cat /var/log/audit/audit.log | audit2allow -M Targeted-command
6.load the policy package
cd /root
semodule -i Targeted-command.pp
安装过后系统就可以允许相关命令运行了。
