Dodawanie Nowej Domeny I Translacji Z Initrc_t W Selinux

[terk]

witam wszystkich. mam problem z ustawieniem/stworzeniem wlasnej domeny oraz translacji z initrc_t na my_domain_t

tworze sobie modul etc... i w pliku *.te podaje miedzy innymi

 

type my_domain_t;

type my_domain_exec_t;

init_daemon_domain( my_domain_t , my_domain_exec_t );

 

z tego co mi wiadomo to powinno spowodowac przejscie z initrc_t na my_domain_t za posrednictwem klasy process. pliki sa zlabelowane poprawnie ,walcze z tym juz druga noc i nic nie moge wymyslic. w logach nie pokazuje sie nic a process zamiast w mojej domenie wykonuje sie w domienie initrc_t. makro rozwijane jest jak nalezy ... prosze o pomoc... przeczytalem wiekszosc dostepnych dokumentacji w ktorych jest podane iz aby wymusic przejscie domen wystarczy (dla kompilatora checkpolicy):

 

type_transition initrc_t my_domain_exec_t:process my_domain_t;

allow initrc_t my_domain_exec_t : file { execute };

allow initrc_t my_domain_t : process transition;

allow my_domain_t:file entrypoint;

 

blagam niech ktos mi pomoze bo juz nerwowo nie wytrzymuje... zamiast sie uczyc czegos nowego to wpadlem w petle... pozdrawiam

[terk]

dobra problem rozwiazany... byl on zwiazany z tym ze pliki mojego demona nie byly we wlaciwym katalogu mimo ze zlabelowane... wiem ze jest to dosyc niedorzeczne ale katalog zawierajacy pliki wykonywalne ma wartosc my_domain_exec_t a po napisaniu wrappera , umieszczeniu go w katalogu bin_t i przerobieniu skryptu startowego wszystko dziala jak nalezy ... teraz pytanie w zasadzie juz nie tak wazne ale ciekawe ,brzmi czy wie ktos dlaczego initrc_t mimo ze my_domain_exec_t ( kontekst katalogu zawierajacego tak samo zlabelowane pliki wykonywalne) posiadajac takie same atrybuty co katalog typu bin_t nie chcialo zmienic kontekstu na nowy preferujac wykonanie operacji execute_no_trans ?? nie moge znalesc odpowiedzi na to pytanie w zrodlowej polityce ... pozrawiam

 

 

[qmic]

Gdybym dziś nie wypił to bym Ci pomógł, ale poza tym widzę że jesteś bardzo zdeterminowany i sobie sam bardzo dobrze radzisz (to nie ironia).

 

Ja mam taką zasadę - jeśli rozwiązania problemu nie ma w google to znaczy że ja coś spier... tak więc może zacznij od początku