2005-10-17 ■ 開発日誌 SELinux解析 今日もアクセスベクタ解析。ソケット関連の解析がようやく終わった。 使われてないアクセスベクタ ソケット全般 ioctl, append, lock, relabelfrom, relabelto, recvfrom,setattr(前書いたのはsetattrが抜け) unix_stream_socket newconn, acceptfrom tcp_socket connectto, newconn, acceptfrom ポート番号との間でチェックされるもの ソケット全般 name_bind, recv_msg, send_msg tcp_socket name_connect ノード(IPアドレス)との間でチェックされるもの node_bind ドメイン間通信のチェックに使えるもの sendto(unix_dgram_socketのみ) connectto(unix_stream_socket) 結構使われてないものがあるなぁ。互換性のために残ってるだけという感じがする。 ドメイン間通信の制御はやっぱほとんどできないが, ポート番号,NIC,IPアドレスを使った制御はかなりできそうな感じ。
