Faire un module de règles personalisées SELinux est plutôt facile à faire. Les commandes sont indiquées dans le rapport d'anomalie de SELinux. Sauf que voilà, les contextes des fichiers changent au grès des restorecon, et les règles globales de SELinux évoluent au fil des mises à jour. Ainsi, un refus d'accès SELinux (AVC Denied) qui n'est pas une conséquence de l'un de nos actes, est généralement un simple bug, à caractère temporaire.

Il peut être utile dans un premier temps de simplement désactiver le module, afin de s'assurer dans les journaux système qu'il n'y ait plus d'erreur d'accès refusé. Si celà se confirme après quelques jours de surveillance des journaux, on pourra supprimer définitivement le module.

La première étape est donc de retrouver nos vieux modules. C'est là que le renommage approprié du fameux mypol.pp va porter ses fruits. Pour obtenir la liste de tout les modules :

# semodule --list-modules
(...)
rpcbind 1.5.0
rpm     1.12.0
rrdtool-warning-blocked 1.0
rshd    1.7.0
rssh    2.0.1
(...)

Heureusement, nos modules personnels ne sont pas trop difficiles à reconnaître grace à leur version générique 1.0. Dans cet exemple, le module rrdtool-warning-blocked doit avoir 3 ou 4 semaines d'ancienneté maintenant. Du coup nous pouvons le désactiver pour voir si la situation a évolué, avec la commande suivante :

# semodule -d rrdtool-warning-blocked
# semodule --list-modules
(...)
rpcbind 1.5.0
rpm     1.12.0
rrdtool-warning-blocked 1.0     Disabled
rshd    1.7.0
rssh    2.0.1
(...)

Si dans une semaine, aucune nouvelle alerte SELinux à propos de rrdtool n'est apparue dans /var/log/messages, alors on va pouvoir le supprimer puisqu'il est désormais inutile. Voici la commande pour le supprimer définitivement :

# semodule -r rrdtool-warning-blocked