■
パーミッション解析を反映した修正
パーミッション部分に"*" を指定するポリシを出力しないように
例:
変換後ポリシに
allow hoge_t self:netlink_socket *;
みたいなのは出さない。
"*"を展開し、ちゃんとどんなパーミッションが指定されているか明示。
"*"を展開したほうが、パーミッションの意味を完璧に理解できてないと書けないのでセキュア。*だと、将来パーミッションが追加されたときも無条件に許可しちゃう。
process: getattrの扱い
これは、前まではサポートしないパーミッションに入れてた。
が、ちゃんと解析した結果、プロセスのラベルを見るための権限だったことが判明。
とりあえず、allowprocに統合。