■
system,process,security オブジェクトクラスの非サポートパーミッションの見直し
以下,default.teよりの抜粋。以下に出てくるアクセスベクタはサポートしない(Policy Editorからは設定できない,全部許可する)。
allow global global:process { getsched getsession getpgid setpgid noatsecure sig
inh rlimitinh setrlimit fork share setexec setfscreate execmem execstack exechea
p getcap setcap getattr ptrace setsched };
allow global { security_t self }:security { compute_member setsecparam setcheckreqpr
ot setbool };
サポートしない基準は
「アクセスベクタの悪用危険性が低い」
「悪用可能性以上に,プロセスが動作しない影響が大きい(可用性が損なわれると判断)」
「他に似たアクセスベクタがあって,他のアクセスベクタで代用したほうが望ましい」
「SELinux以外のセキュリティモデルをコントロールするもの」
である。
