從 CIL 創建自定義 SELinux 文件上下文/類型

我想從我的 SELinux 模組（使用 CIL 語法編寫）創建一個新的上下文，然後將它用於我的應用程序的日誌文件，以便 logrotate 可以訪問它。但是，當我嘗試semodule -i使用以下內容的文件時：

(type indico_log_t)
(typeattributeset file_type (indico_log_t))
(typeattributeset logfile (indico_log_t))

(filecon "/opt/indico/log/.*\.log" any (system_u object_r indico_log_t ((s0)(s0))))

我收到此錯誤：

Type indico_log_t is invalid for role object_r
Invalid context
Invalid filecon at /etc/selinux/targeted/tmp/modules/400/indico-new/cil:5
Failed to verify cil database
Failed to verify cil database
semodule:  Failed!

我做錯什麼了嗎？是否有不同的方法來創建可用於文件的新類型？

FWIW，如果我刪除最後一行，我可以安裝模組，但chcon不接受類型（chcon: invalid context: indico_log_t）。

您需要使用 roletype 來允許類型與角色相關聯。

(roletype object_r indico_log_t)

引用自：https://unix.stackexchange.com/questions/352838