[学习记录]selinux策略日志相关

selinux对于被拒绝的操作是会记录在系统日志的，位置在/var/log/audit/audit.log    type为AVC，大括号里是操作类型，还有是否被拒绝、pid、安全上下文等等信息

 

 

selinux提供了audit2allow工具，用来分析策略日志然后生成一个使日志中被拒绝

 

 实例如下：

 

 相当于直接输出了一个.te文件，我们只要把输出导出成te文件，然后编译，加载即可。

 

需要注意的是audit2allow会粗暴地以全部通过为目的进行修改，因此需要注意不要让修改破坏了其它组件地安全。