■
思いつきメモ
- 詳細設定文法(ファイル用)
allow hoge s,r+file:setattr;
(パーミッションの「s,r」プラス,オブジェクトクラスfileのsetattr)
allow hoge s,r,c-dir:unlink;
(パーミッションの「s,r,c」からdirのunlinkを差し引く)
GUI等から扱いやすいようにしないと…
- コマンドラインからのツール
LIDSみたいに,コマンドで設定できるようにできないか
例えば
show_acl httpd_t
とすると、
httpd_tの持つ権限が,global考慮済みで出てくる。
show_acl /etc
とすると,/etcにアクセスできるドメインが出てくる。
add_acl "allow httpd_t /var/ r,s;"
とすると,httpd_t.aに設定を追加しmake diffrelabelをしてくれる。
- tmp/PIDファイルをまとめてアクセスできる仕組み
initrc_tは,tmpやPIDの動的生成ファイル全てにアクセスできる必要がある。
*1
これをまとめて指定できる必要がある。
allow exclusive