■
allowprocの見直し&仕様変更
- allowproc はselfとotherのみが使える。
- allowproc -proc, -kmsg, -systemは廃止。
- 他のallowfsの要素と比べて特別扱いする理由がないので,かえって紛らわしい。
- これらの変わりに,allowfs proc, proc_kmsg, proc_kcoreを使う。
- で,「allowproc」の意味は,「プロセス情報(/proc/
のアクセス制御」の意味に。
allowfsさらに見直し
- allowfs xattrfsを追加。xattrfsは,xattrfs_tタイプがついたファイルシステムのアクセス制御をする。
- fs_useで,「fs_use_xattr」指定されているファイルシステムを(ラベル付けされない状態で)マウントしたした時,xattrfs_tがつく。
- つまり,ext3フォーマットしたUSBメモリなどを差し込むと,このタイプでアクセス制御されるはずなので,ext3フォーマットしたUSBメモリの利用制御ができるはず。
- これに伴い,initial_sid_contextsの「file_t」を「xattrfs_t」に変更。
- allowadm unlabelでは「unlabeled_t」だけをアクセス制御するように。
一部ファイル名変更
- converter → seedit-converter
- converterというプログラム名が他とぶつかりそうだから。
- test.conf → generated.conf
- test.confというのはあんまりな名前なので。