■
↑に書いたこと取り消し。試験勉強してたら,すぐ現実逃避したくなった。
FC5-test1を入れたので,reference policyおよび
semodule(ポリシのバイナリモジュールサポート)をちょっと調べてみる。
semodule
書式は:http://sepolicy-server.sourceforge.net/index.php?page=module-overview
「モジュール対応書式」は
「美しいポリシ」を書くことを強制できるメリットがある。
一方で,ポリシ書き人を教育するのがとても大変そう。
依存関係を明記していく作業が大変に思える。
「NSAがメンテするポリシはモジュール対応書式必須(開発者向け)」
「ユーザは今までの書式でポリシを追加できる」
ぐらいが現実的か。
reference policy
- test1で使う方法
- http://www.selinux.gr.jp/selinux-users-ml/200511.month/1221.html
- test2ではたぶんデフォルトreference policy
- Reference Policyでは,デフォルトではモジュールを使わないようになっているようだ。
- MakefileのMONOLITHIC=yをMONOLITHIC=nに変えるとモジュールを使うようになるらしい。
- 実際に中身を見てみると,あくまで「開発者用の機能(書式)」であることが分かる。ユーザの利便性を高めるものではないようだ。
- 売りは以下?
- マクロの整理
- semodule対応
- ドキュメント自動生成
- ポリシファイルは,なお見にくい。
- 例えば,apache.teは682行(^^;
- ifdefの嵐が原因? かえって前よりifdefの嵐が増加している???
- ifdefを一旦展開したポリシを閲覧できないものか?
- ポリシのソースはRPMで提供されず!
- 「ポリシの編集」をどう位置づけていけばいいのか?
- Redhatは「ユーザには触らせないつもり」なのか?
- 「ポリシの編集」をどう位置づけていけばいいのか?