semodule

書式は：http://sepolicy-server.sourceforge.net/index.php?page=module-overview
「モジュール対応書式」は
「美しいポリシ」を書くことを強制できるメリットがある。
一方で，ポリシ書き人を教育するのがとても大変そう。
依存関係を明記していく作業が大変に思える。
「NSAがメンテするポリシはモジュール対応書式必須（開発者向け）」
「ユーザは今までの書式でポリシを追加できる」
ぐらいが現実的か。

reference policy

• test1で使う方法
  • http://www.selinux.gr.jp/selinux-users-ml/200511.month/1221.html
  • test2ではたぶんデフォルトreference policy
• Reference Policyでは，デフォルトではモジュールを使わないようになっているようだ。
• MakefileのMONOLITHIC=yをMONOLITHIC=nに変えるとモジュールを使うようになるらしい。
• 実際に中身を見てみると，あくまで「開発者用の機能（書式）」であることが分かる。ユーザの利便性を高めるものではないようだ。
• 売りは以下？
  • マクロの整理
  • semodule対応
  • ドキュメント自動生成
• ポリシファイルは，なお見にくい。
  • 例えば，apache.teは682行(^^;
• ifdefの嵐が原因？ かえって前よりifdefの嵐が増加している？？？
  • ifdefを一旦展開したポリシを閲覧できないものか？
• ポリシのソースはRPMで提供されず！
  • 「ポリシの編集」をどう位置づけていけばいいのか？
    • Redhatは「ユーザには触らせないつもり」なのか？