Bem, primeiro você tem que identificar a negação que está recebendo do SELinux. A maneira mais fácil (na minha opinião) de fazer isso é através do utilitário sealert
.
Primeiro instale o pacote setroubleshoot-server
com:
yum install setroubleshoot-server
Em seguida, execute:
sealert -a /var/log/audit/audit.log
Você provavelmente obterá muitos resultados, procurará sua negação específica e seguirá as recomendações. Mas não deixe de permitir coisas que não deveriam ser permitidas!
Aqui está um exemplo de uma negação e o problema sugerido de sealert
(minha ênfase):
SELinux is preventing /usr/libexec/postfix/qmgr from using the rlimitinh access on a process. ***** Plugin catchall (100. confidence) suggests ************************** you believe that qmgr should be allowed rlimitinh access on processes labeled postfix_qmgr_t by default. Then you should report this as a bug. You can generate a local policy module to allow this access. Do allow this access for now by executing: # ausearch -c 'qmgr' --raw | audit2allow -M my-qmgr # semodule -i my-qmgr.pp Additional Information: Source Context system_u:system_r:postfix_master_t:s0 Target Context system_u:system_r:postfix_qmgr_t:s0 Target Objects Unknown [ process ] Source qmgr Source Path /usr/libexec/postfix/qmgr Port Host Source RPM Packages postfix-2.10.1-6.el7.x86_64 Target RPM Packages Policy RPM selinux-policy-3.13.1-102.el7_3.16.noarch Selinux Enabled True Policy Type targeted Enforcing Mode Enforcing Host Name centos Platform Linux centos 3.10.0-514.26.2.el7.x86_64 #1 SMP Tue Jul 4 15:04:05 UTC 2017 x86_64 x86_64 Alert Count 5 First Seen 2018-04-18 18:02:32 CEST Last Seen 2018-08-22 09:11:22 CEST Local ID 855f168c-1e47-4c6b-8a1e-f8fddce5d426
O exemplo acima diz respeito ao Postfix, novamente; procure por sua negação e insira uma política local.