/var/www/perl(/.*)?            system_u:object_r:httpd_sys_script_t

/var/www/icons(/.*)?            system_u:object_r:httpd_sys_content_t

/var/cache/httpd(/.*)?            system_u:object_r:httpd_cache_t

/etc/httpd                        system_u:object_r:httpd_config_t

/etc/httpd/conf(/.*)?            system_u:object_r:httpd_config_t

/usr/lib/apache(/.*)?            system_u:object_r:httpd_modules_t

/usr/lib/cgi-bin/(nph-)?      cgiwrap(d)?system_u:object_r:httpd_suexec_exec_t

В первой колонке с использованием регулярных выражений задаются имена файлов, а во второй содержится контекст, которым файлы соответствия должны быть помечены, обратите внимание, что роль файлов различна. Чтобы переметить заново файлы в случае, например, размещения веб-сервера в другом каталоге, изменив предварительно нужные записи, дать команду make relabel в каталоге ./selinux/policy. В подкаталоге domains содержатся записи политик защиты для каждого приложения. В domains/program содержатся макроопределения для многих известных программ. С помощью команды make load можно перестроить и перезапустить политику защиты ядра для этих файлов. Так как определение всех правил вручную – занятие долгое и требующее серьезного изучения, то самым простым способом добавить разрешающее правило (allow) будет воспользоваться скриптом scripts/newrules.pl, который автоматически обработает файл журнала на предмет недопущенных операций в разрешающем режиме работы системы. Например, когда я закомментировал строки в файле apache.te, позволяющие использовать домашние каталоги пользователей, в которых размещаются их веб-страницы. И «погонял» сервер. А затем:

[root@grinder /]# tail   /var/log/messages | ./scripts/newrules.pl

allow httpd_t home_root_t:dir { getattr search };