2005-06-23 ■ 開発日誌 FC4でなんとなく動くようになってきた。 GUI 新規追加allowの対応完了。 allownet -connect -netlink, allowadm all default_contextのインストールパスを修正。 インストール時にwebminのパスを修正するよう。 converter allowの*が使えなくなるかもなので、一部*を使っていたものを取った。 将来的には以下のようにして*を全部のぞく必要? perlのツール作って、access_vectorsから,下のようなマクロを生成し*の代わりにする。 define(_all_perms , に関する全パーミッション); TMP_FILEをいらなくなったら最後に消すように。 ポリシ webmin_tを用意。 newrole,sshの調整。 結果、enforcingモードで動くサービスは以下。 auditd, syslog, httpd, webmin, iptables, network ロールはsysadm_rとuser_rのみ。 newroleは使えるが、suは使えない。 cronは使えない シンタックスやパーミッション変える予定なのでやりすぎてもしょうがない? ターゲットinitinstallを用意。こいつで,初回起動時の準備。(/etc/selinux/configのかきかえ、ポリシのインストール、/.autorelabel) FC4-easyポリシの用意 LIDS並みに簡単にするのをめざす. ファイルタイプ遷移を極力減らす. etc_runtimeとdev_log_tのみ. /tmpは保護しない(実行不可のみ) /var/runはディレクトリ単位でしかアクセス制御しない。 /var/logは、audit,httpd以外は,/var/logに書き込む人は書き込み可能. tmpfsはとりあえず使ってる lidsのtmpfsはどうしてる? LIDSのログの保護レベルは? 次の作業 FC4版公開準備 README,インストールドキュメントなど FC4-easyポリシのテスト