audit2allowが復元と適用ルールの種類を提案している場合、両方の緩和策が必要ですか？

SELinuxは、新しいRHEL7サーバー展開に移行する際の運用上の問題を防ぐのに役立つ許可モードです。いくつかのSELinuxの問題は確認して解決するのが非常に簡単ですが、次の問題は少し混乱しています。

AVCは次のとおりです。

type=AVC msg=audit(1533595368.668:140747): avc:  denied  { connectto } for  pid=87400 comm="postdrop" path="/var/spool/postfix/public/pickup" scontext=system_u:system_r:postfix_postdrop_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=unix_stream_socket

監査2が言う理由は次のとおりです。

type=AVC msg=audit(1533595368.668:140747): avc:  denied  { connectto } for  pid=87400 comm="postdrop" path="/var/spool/postfix/public/pickup" scontext=system_u:system_r:postfix_postdrop_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=unix_stream_socket

        Was caused by:
                Missing type enforcement (TE) allow rule.

                You can use audit2allow to generate a loadable module to allow this access.

Audit2allowは次のように言いました。

#============= postfix_postdrop_t ==============

#!!!! The file '/var/spool/postfix/public/pickup' is mislabeled on your system. 
#!!!! Fix with $ restorecon -R -v /var/spool/postfix/public/pickup
allow postfix_postdrop_t unconfined_t:unix_stream_socket connectto;

この通知は、次のコマンドを実行して問題の一部を修正する必要があることを意味するようです。

# restorecon -R -v /var/spool/postfix/public/pickup
# ls -lZ /var/spool/postfix/public/pickup
srw-rw-rw-. postfix postfix unconfined_u:object_r:postfix_public_t:s0 /var/spool/postfix/public/pickup

ただし、SELinux監査ロギングの問題は完了後も変更されたようには見えないため、明らかにより多くの作業を行う必要があります。おそらく、いくつかの問題は仲裁に関連しているでしょう。

allow postfix_postdrop_t unconfined_t:unix_stream_socket connectto;

postfixと同じくらい確立されたサービスに管理者の介入が必要なSELinuxの問題があることは奇妙です。

この問題の解決策は次のとおりです。

# echo 'type=AVC msg=audit(1533595368.668:140747): avc:  denied  { connectto } for  pid=87400 comm="postdrop" path="/var/spool/postfix/public/pickup" scontext=system_u:system_r:postfix_postdrop_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=unix_stream_socket' \
  | audit2allow -M local_postfix_pickup
# semodule -i local_postfix_pickup.pp

しかし、そのような変更が正当であると考えられる理由についてのより良い理解なしに、単に監査問題を取り除くための措置を講じることは賢明ではないようです。

これは本当にタグの問題ですか、それとも単に「許容」不足による副作用ですか？そして、これがPostfixインストールがスムーズに実行されるために管理者が行う必要がある合法的で予想される変更であることについて誰でもコメントできますか？ SELinux？

SELinuxをオフにすることを提案しないでください。もちろんオプションですが、むしろこれを守る方法を学び、このような性格の問題が生じたときに正しい行動方針を見分ける方法を学びたいと思います。

注：上記のコマンドaudit2allow -M ..とsemanage -iコマンドはラベルを再指定せずにSELinuxの問題を解決しますが、ラベルを再指定するとポリシーを作成する必要がないかどうかはわかりません。この方法で問題を解決することが期待されるのか、それとも正常であるのかはわかりません。

#============= postfix_postdrop_t ==============

#!!!! This avc is allowed in the current policy
allow postfix_postdrop_t unconfined_t:unix_stream_socket connectto;