Rawhide(Fedoraの開発版）への切り替え方メモ

FC5-test1のリリースが延び，MCSが待ちきれなくなったので，
FC4をRawhideにしてみた。
なんとかRawhide化に成功。
0)
FC4を「最小」でインストール（yum update時間削減のため）
*1
1)
/etc/yum.repoのファイルのうち，fedora-devel以外のものについて「enabled=0」にする。
2)
yum update
kernelパッケージに依存関係が出てきた駄目だった…
3)
依存関係エラーが出てきたものについて，
http://download.fedora.redhat.com/pub/fedora/linux/core/development/i386/Fedora/RPMS/
よりrpmをダウンロード。
（私の場合はkernel)
rpm -ivh kernel* --nodeps --force
で強制インストール。
依存関係エラーが出るパッケージのうち，消しても(rpm -e)差し支えないものは消したかも。
4）もう一度
yum update
これで，なんとかRawhideになって起動。
にしても，FC5-test1すら待ちきれないとは，我ながらせっかちだ…

Rawhide SELinux

だいぶ変わってる。ライブラリが増えてるし，MLS(MCS)対応しまくり。
こりゃ，色々調べなきゃな。

• MCS関連
  • file_contextsを見てみると，違いが際立つ。ちょっと書式変わってます…
• semodule
  • semoduleのコマンドは入ってたけど，対応した書式は使われてないようだ。
• access_vectorsを見てみたけど，アクセスベクタ定義は，基本的には増えてない。
• アプリ用のアクセスベクタ定義
  • しかし，アプリケーション用のアクセスベクタは増えている。
  • SELinuxは，アプリからも利用可能。アプリから，アクセス制御エンジンを使うことができる(APIがある）。で，アプリケーション独自のアクセスベクタ定義を作って，セキュリティを高めることができるようになっている。ncsd, passwdコマンドなどが，独自のアクセスベクタ定義を使っているようだ。
  • Secuirty-Enhanced-X(SE-X)もその一種
• reference policyは，入ってない。

ふと，TresysのPolicy Serverの必要性がわかってきた。
こんな感じで，何でもかんでも一つのポリシデータベースを使おうとすると，
ポリシの管理時に問題が出てくると思う。
SE-Xの管理者が，SE-Xのポリシを変更したい時，
SELinuxそのもののポリシまで変更できちゃまずいだろう。
なので，Policy Serverの機能である，ポリシ内部のアクセス制御，または，アクセス制御エンジンを分離することが必要になってくるのだろう。
話が脱線*2