Um novo diretório de nível superior foi criado, ganhando o rótulo padrão para novos diretórios de nível superior, default_t .
O SELinux nega iniciar um serviço se o ExecStart for um programa criado em um novo diretório de nível superior ( /ansible-managed/ ).
Existe um propósito para essa negação?
sealert sugeriu que qualquer um dos rótulos a seguir teria sido permitido:
para que possamos excluir a possibilidade de bloquear alguém que esteja executando um daemon a partir de um local gravável pelo usuário, como /dev/shm ( tmpfs_t ).
Política do SELinux: selinux-policy-targeted-3.13.1-225.18.fc25.noarch
A política do SELinux existe para definir políticas do que é permitido no sistema. Quando você cria alguns arquivos diferentes com rótulos genéricos, a política é bastante permissiva, mas evita algumas ameaças potenciais.
A única ameaça não é executar algo de /dev/shm , mas executar algo a partir de diretórios potencialmente graváveis pelo usuário pode ser muito perigoso (especialmente no caso de o daemon ser executado como root, não é?).
Geralmente, todos os novos serviços / daemons no Fedora são obrigados a ter alguma política do SELinux, para que o SELinux tenha pelo menos algum controle sobre eles. Eu recomendo que você faça isso, se for um serviço de longa duração.
Se for um serviço ad-hoc, atribua a ele algum rótulo genérico de bin_t , que deve fazer isso. Ou instale os binários em /opt/your-path/(s)bin/ e, possivelmente, ajuste a política para obter os rótulos corretamente em sua árvore de diretórios.