semodule

Gérer les modules de stratégie SELinux

   semodule est l'outil utilisé pour gérer les modules de stratégie SELinux, incluant l'installation, la mise à jours, le listing et la suppression des modules. semodule peut également être utilisé pour reconstruire une stratégie depuis un magasin de module et/ou forcer à recharger une stratégie sans effectuer d'autre transactions. semodule agit sur les paquets de module créés par semodule_package. Par convention, ces fichiers ont un suffixe .pp (policy package).

OPTIONS

-R, --reload Force à recharger une stratégie
-B, --build Force à reconstruire une stratégie (recharge également sauf si -n)
-D, --disable_dontaudit Supprime temporairement dontaudits de la stratégie
-i, --install=MODULE_PKG Install/remplace un paquet module
-r, --remove=MODULE_NAME Supprime un module existant
-l[KIND], --liste-modules[=KIND] Affiche une liste des modules installés
-E, --extract=MODULE_PKG Extrait un module du magasin comme fichier HLL ou CIL dans le répertoire courant.

KIND

        standard Liste la plus haut priorité
        full Liste tous les modules

-X,--priority=PRIORITY Définis la priorité pour les opérations qui suivent (1-999)
-e, --enabled=MODULE_NAME Active un module
-d, --disable=MODULE_NAME désactive un module
-s, --store Nom du magasin à utiliser pour les opérations
-n, --noreload, -N ne pas recharger la stratégie
-p, --preserve_tunables préserve tunables in policy
-C, --ignore-module-cache Recompile les module CIL construis depuis les fichiers HLL
-p, --path Chemin alternatif pour la racine de stratégie
-S, --store-path Chemin alternatif pour la racine du magasin de stratégie
-v, --verbose mode verbeux
-c, --cil Extrait le module comme fichier CIL
-H, --hll Extrait le module comme fichier HLL

Exemples

Installer ou remplacer un paquet de stratégie de base
semodule -b base.pp
installer ou remplacer un paquet de stratégie non base
semodule -i httpd.pp
Lister les module non de base
semodule -l
Activer tous les messages AVC pour lesquels SELinux est actuellement en 'dontaudit'
semodule -DB
Réapplique les règles 'dontaudit'
semodule -B
Installer ou remplacer tous les modules non-base dans le répertoire courant
semodule -i *.pp
Installer ou remplacer tous les modules dans le répertoire courant
ls *.pp | grep -Ev "base.pp|enableaudit.pp" | xargs /usr/sbin/semodule -b base.pp -i
Désactiver un module
semodule -d alsa
Installer un module avec une priorité spcifique
semodule -X 100 -i alsa.pp
Lister tous les modules
semodule --list=full
Définir un chemin alternatif pour la racine des stratégie
semodule -B -p "/tmp"
Écris la version HLL de puppet et la version CIL de wireshark
semodule -X 400 -E puppet --cil -E wireshark