会社に復帰してからというもの、この日記になかなかカキコできない。。yum updateしたら、audit2allowのlオプションが使えなくなってた。 カーネルのバージョンアップのせい&ポリシのauditallowルールの削除が原因。 これは困るのでパッチを送っておいた。FC…

yum updateすると、色々変わってた。 policygentool これは、FC5リリース当初はほとんど意味ないツールだったが、 かなり進歩している。y/nを答えることで、ポリシーのテンプレート作成。 /usr/share/selinux/devel/policygentoolが本体。 audit2allowの強化…

ユーザーが二度とグラフィカルログインできなくなる。 ユーザーを消してもう一度作っても駄目。 su reboot したら、そのユーザーがログインできなくなった。 seeditのインストール過程と関係あるのかは不明。。targeted->seeditインストールをVMWareで試して…

寝る前に、関係者のコメントをみて、seeditのアンインストールテスト。 確かに、問題が発生。アンインストールしたのに、ラベルがseeditのラベルのままだった。色々調べたら、今日の版のFC5 targeted policyで、 fixfiles restoreがエラーになった。これが原…

ちょっと変わっている。 public_content_t booleanじゃないけど。 これは、samba,apache,ftpdから読み込みアクセスさせたいファイルに付与するタイプ 例えば、publich_htmlをsambaで共有したいときに使う。 allow_|daemon|_anon_write ってのが面白い。 publ…

FC5をゲットした。 test3からの違いとして、 auditdが標準で入ってないことに気づく。 これには驚いた。まぁ、こっちのほうがいいと思うが。 いつもauditdは切ってたしw auditdが欲しい人は、yum install auditする必要。以下selinux-usersに投稿したメモ。 …

/root以下のファイルにデフォルトと違うタイプを付与したいのだが、うまくいかない。semanageコマンドでも付与できない。 解決法１ 原因は、ホームディレクトリのタイプはfile_contextファイルと別管理されていることにある。ホームディレクトリ関係は、/etc…

MCS/MLS ユーザをカテゴリに所属させる設定をする際,semanageコマンドを使う必要があったが、chcatコマンドの「-l」オプションを使えばOK. chcatだけでいける。

また色々いじってみる。 タイプ宣言 タイプを宣言したとき,今までは type hoge_t,filetype; としてきた。 今度は、 type hoge_t; files_type(hoge_t) とするらしい。 files_typeで、filetype属性を付与する。 属性付与にまでマクロを使ってほしいようだ。 ネ…

ややこしくなってきたので整理。 ポリシモジュール関連 機能の正式名称は「SE Linux Loadable Policy Modules」 出典：http://sepolicy-server.sourceforge.net/index.php?page=module-language (以下tresysページ） 別名として、SELinux policy modulesとも…

構成要素を洗い直してみる。 サポートプログラム supportディレクトリ以下。普通の人は気にしない Makefile モジュール ソースコードレベルのモジュールのようだ。 ifファイル、teファイル, fcファイルの組み合わせのことをそう呼ぶ。 policy/module以下に配…

Reference Policyの呼称について Reference Policy。これはどうやって呼ぼうか？ SELinux用語の翻訳はいつも悩む。 無理に和訳すると意味不明になることも多いし。 たとえば、Reference Policyの日本語向け表記は以下が考えられる。 1) Reference Poilcy 2) …

昨日のつづき。ハマリ発見。 昨日の方法だと、semodule -iでインストールできなかった。 Makefileの TYPE?=strictを TYPE?=targeted-mcs としないといけない。 これは、将来改善されるかもしれない。 さらに、semanageコマンドで、ファイルのタイプ付けした…

Rawhideに入ったばっかりだが、早速解析。 これは、昨日の「レベル４」の設定方法に該当する。 selinux-policy-develパッケージをまずインストール。 yum install selinux-policy-develyum install selinux-policy-devel # rpm -ql selinux-policy-devel /us…

こいつは、昨日の「レベル２」に相当する。 yum updateしたら、なんかオプションが増えてる。 できること： ファイルのラベル付け変更 ポートのラベル付け変更 ネットワークインターフェースのラベル付け変更 ユーザのロール設定,MLS/MCSのラベル設定 いまの…

さて、昨日の日記で、 http://d.hatena.ne.jp/himainu/20060130 「5段階」の設定方法があると書いた。 レベル３、レベル5は以前書いた(過去ログみてね） レベル１はFC４といっしょ。 今日は残るレベル２、４。

selinux-policy-develパッケージが出来ていることを発見。 /usr/share/refpolicy/include に，reference policyのマクロが配置されるようだ。むむむむ… ポリシの開発スタイルがみえた。 以下の５段階のレベルに分かれるに違いない。 レベル１（デスクトップ…

test2が出た。reference policy正式採用。 この日記で前書いたのとあまり変わってない模様。

リリースが遅れているらしい。

新たなアプリ用のポリシを作ってみる。 Tresysのドキュメント http://serefpolicy.sourceforge.net/index.php?page=getting-started の例でうまくいくか？ と思ったけど,駄目。適当な例をソースから探してやるしかない。 テスト用のアプリ作成 #vi /usr/bin/…

ついでに,MLS関連をもう少し。メモ。 例によって,自分が後から思い出す用なので，分かりにくいの注意。 ラベルの書式 ラベルの書式は, |sensitivity A| - |sensitivity B|:|category| のようになっている。 |category|は,カンマ区切り,または「-」を使って複…

インストールしたので，中身を見始める。 感想 頭が痛くなってくる… 「中身を完全に理解する」ことはあきらめたほうがいいのではと思ってしまう。 今まで以上にマクロのネストと，m4フル活用。 そして，mls関連のポリシが分からんorzやはり，ポリシをプログ…

http://marc.theaimsgroup.com/?l=selinux&m=113482797505024&w=2 仮の方法ではあるらしい…

refpolicyのテスト。 インストール手順 「targetedポリシ、MCSが有効」をインストールすると仮定。 インストール先は/etc/selinux/refpolicy 目標はfedora標準のポリシのソースを作ること。 (1) selinux-policy-|version|.src.rpm を入手 http://download.fe…

ソース無しでどうポリシを追加するのか調査。 なお，SELinuxのコア部分では，モジュールじゃないポリシにも対応している。 以下，自分用＆物好きな人向けのメモです。 ポリシモジュールとは モジュール：一つのteファイルをバイナリ形式にしたもの パッケー…

ポリシのソースパッケージが無くなる！ ポリシのソースがなくなっていることをfedora-selinux-listに聞いてみた。 https://www.redhat.com/archives/fedora-selinux-list/2005-December/msg00058.html そしたら，FC5からは，ポリシのソースは添付されなくな…

MCSを人柱。FC5-test1 をyum updateしたものがベース。 後々まとめるためのメモ。 MCSとは カテゴリなるものをベースにアクセス制御。MLSの簡易バージョン カテゴリのネーミング s0:|c0-c255| という規則(s0は，MLSのセンシティビティだが，MCSでは気にしな…