■
掃除
- ハードコードされたポリシの除去
- 今までなんと汚い実装だったんだ…
- initial_sid_contexts
- converterで使わない部分はunlabeled_tにした。
- convert.c:out_not_suppoerted_allowの除去。
- これもハードコード部分。default.teでallowするように。
その他
- allowadm allを作成。
- ドメインに全ての権限を許可
メモ:マルチディストリ対応
- base_policy/
以下のポリシの変更でなんとか吸収するよう - アクセスベクタ、オブジェクトクラスの増減をどうやって吸収するか?
- アクセスベクタが減っている場合の対応:
- アクセスベクタ、オブジェクトクラスの定義済みリストをaccess_vectorsファイルから作って、convert.cで定義済みならば出力するとか。
- アクセスベクタが増えている場合の対応:
- default.teに allow global *:<増えたアクセスベクタ> のように記述。
- アクセスベクタが減っている場合の対応:
- ファイルシステムの増減の対応: genfscon, fs_useで吸収。
- メモ:allow global *: は、ルールをかなり増大させている。