ひたすらRPMパッケージのテスト…
同じディストリでも環境によって,ポリシのコンパイル結果が変わってしまう。
file_contextsの動的ラベル付けが環境によって変わるので,これだけはあらかじめもっておくよう。他の部分は、インストール後のmake diffrelabelで,大丈夫。
distro/(distro名)/dynamic_contextsファイルに,動的ラベル付けを持っておき,make install時にこの内容をfile_contextsに含めるよう。
オブジェクトクラス「dir」の「search」は,
全ドメインに許可してしまっていいのではないのか?
「search」があっても「getattr」やディレクトリの「read」がないと,
ファイルやディレクトリ一覧は見れないわけだし(そのはず)。
デーモンを起動するとき等,「search」のdenyがでまくる。
設定者がこれにつられて「read」パーミッションを与えるほうが
問題が大きいのではないか?
