リムーバブルメディア，その他ファイルシステムのアクセス制御

現状，mount_tドメインが使える人のみマウント可能。
allowadm unlabelが許可されている人しかリムーバブルメディアには読み書きできない。
allowadm unlabelは許しすぎなので検討の必要。

• usbfsへのアクセス制御は何を意味するか？
  • /proc/bus/usbはusbfs_t。
  • strictポリシ：usbfs_tへの書き込みはuser_t,staff_tが持ってる。
  • こいつへの制限をしたからと言ってUSBデバイスへの読み書き制限ができるわけではないようだ。auditallowでログを取ったが，USBデバイスへのマウント時，mountコマンドがこいつを読みに行っているだけ。

• usbdevfsとは？

genfs_contextsにusbdevfsなるものがある。
usbdevfs, usbfsは同じものらしい。
http://www.gentoo.org/doc/ja/migration-to-2.6.xml?style=printable
usbdevfs→usbfsに改名された。

• USBデバイス，CD,DVDへのアクセス制御方式（今日の結論）
  • マウント/アンマウントの制限は，「mountコマンド(mount_tドメイン）」の利用制限で行う。
  • マウントされたファイルシステムへのアクセス制御は，

allowfs <ファイルシステム>
のように制御できるようにする。

• • 例：
    • allowfs iso9660 r,s;
    • allowfs vfat r,s;

• 要検討
  • <ファイルシステム>にどんな文字列を許すかは検討の必要。
    • cdfs,dosfs,nfs,ramfs,smbfs,usbfs？
  • 細かくファイルシステム単位にマウントをする仕組みは要る？iso9660のマウントだけ可能とか？