Portal:SELinux/PackagingCustomPolicy

在 openSUSE 中，有两种方法可以发布自定义策略模块

• 通过 主要的 SELinux 策略
• 通过自己的软件包（在主策略之外）

两种选项都有优点和缺点，如下文所述。

提交策略

请在向 openSUSE:Factory 提交策略模块之前，联系 SELinux 工作组，即使它是“仅”在您自己的软件包中，并且由上游编写。自定义策略模块不仅会破坏软件包，而且在引入不一致或错误时还会破坏系统的其他部分。SELinux 工作组将跟踪、审查并在出现自定义策略时提供建议。如果您希望我们更深入地了解，请按照 此处 描述的方式为我们打开 AUDIT-0 错误。

请注意，SELinux 工作组不对发布在主策略之外（即选项 2）的定制 SELinux 策略中的错误负责。我们强烈建议选项 1。

选项 1：通过主策略发布自定义策略模块

您可以联系 SELinux 工作组，请求将您的自定义策略模块添加到主策略中。如果编写的是 openSUSE 特有的模块，或者无法被上游接受，则建议这样做。

优点

• SELinux 工作组将审查并在主策略中维护自定义策略模块

缺点

• 当需要更改时，您需要与 SELinux 工作组协调，并且修复仅在发布主要的 selinux-policy 软件包时可用

选项 2：通过相应的软件包发布自定义策略模块

您可以将自定义策略模块与为其编写的软件包一起发布。当自定义策略模块具有活跃的上游项目时，建议这样做。将这样做的软件包示例包括 flatpak 和 cockpit。

优点

• 您可以直接更改软件包中的模块，并在系统更新的同时发布该模块。

缺点

• 由于不一致导致破坏系统其他部分的可能性更高

将策略模块添加到您的软件包

• 请参考 fedora wiki 中的此指南：https://fedoraproject.org/wiki/SELinux/IndependentPolicy