私たちの組織では、ソフトウェアを使用してサーバーを検出して監視します。ソフトウェアはSELinuxまたはSystemDの両方をサポートしていないため、現在CentOS / RHEL 7用のSELinuxポリシーモジュールを開発し、SystemDのオプションを参照してCentOS / RHEL 7との互換性を向上させるよう努めています。
SELinuxが最初に出てくるので、アプリケーションが特定のポートまたはポートグループにバインドできるようにする必要があります。バインディングが許可されたポートをハードコードするのではなく、参照実装のパターンに従い、実行中のmymonitoringservice_port_tプロセスが定義されたタイプのすべてのポートにバインドされるように定義して許可しようとします。
私が経験している問題は、ポートマッピングタイプとそのデフォルト値セットを定義する方法が見つからないことです。デフォルトのターゲティングポリシーは以下を定義しますhttpd_port_t。
$ sudo semanage port -l | grep http_port_t
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
これらのデフォルトポート値は定義されていませんが、ポリシーでは何とか定義しました。このリストに追加または削除してこれらのポート定義を管理できることを知っていますが、ポリシーマネージャとしてデフォルトを自分のサーバーに「転送」する方法はありますか?これらのポートのリストを定義する実際の方法はありますか?