Você precisa usar o roletype para permitir que um tipo seja associado a uma função.
(roletype object_r indico_log_t)
Eu gostaria de criar um novo contexto a partir do meu módulo SELinux (escrito usando a sintaxe CIL) que será então usado para o arquivo de log do meu aplicativo para que o logrotate possa acessá-lo. No entanto, quando tento semodule -i um arquivo com o seguinte conteúdo:
(type indico_log_t)
(typeattributeset file_type (indico_log_t))
(typeattributeset logfile (indico_log_t))
(filecon "/opt/indico/log/.*\.log" any (system_u object_r indico_log_t ((s0)(s0))))
Eu recebo este erro:
Type indico_log_t is invalid for role object_r
Invalid context
Invalid filecon at /etc/selinux/targeted/tmp/modules/400/indico-new/cil:5
Failed to verify cil database
Failed to verify cil database
semodule: Failed!
Estou fazendo algo errado? Existe uma maneira diferente de criar um novo tipo que pode ser usado para um arquivo?
FWIW, se eu remover a última linha, posso instalar o módulo, mas chcon não aceita o tipo ( chcon: invalid context: indico_log_t ).
Tags selinux