FC5　　SELinuxの変更点メモ

「一般のユーザ向けSELinux」と「開発者向けSELinux」が分かれた。
　新機能「MLS/MCS」も追加された。

1. 一般のユーザ向けSELinux
「バイナリ形式のポリシ」を扱うことを前提としている。
ポリシーのソースには触らない。

1.1 ポリシーに直接触らずポリシの調整を出来る機能

• boolean

今まで通り。system-config-securitylevelで簡単な調整可

• semanageコマンド

ファイル、ポート番号のラベルを張り替えるためのコマンド。
man semanage参照
system-config-selinuxというGUIを開発中らしいが、FC5に間に合ってないようだ。

1.2 ポリシーの追加: ポリシーモジュール機能
ポリシーを分割して管理するための機能である、ポリシーモジュール機能が追加。
これに伴い、audit2allowでポリシーを追加するときの手順が変わった。
　最良のドキュメントは
$ man audit2allow
日本語：
http://intrajp.no-ip.com/himainu/audit2allow.html

2. 開発者向けSELinux
リファレンスポリシー（refpolicy）が目玉。
http://serefpolicy.sourceforge.net/
refpolicyを一言で言うと「整理されたマクロで書かれたポリシー」。
今回、ポリシのソースはrefpolicyの書式で一から書き直された。

また, デフォルトでは、ソースはインストールされない。
selinux-policyのsrc.rpmを持ってくる必要がある。
FC5のrefpolicyの最低限のインストール及び使い方（とその他メモ）については、
http://d.hatena.ne.jp/himainu/searchdiary?word=%2a%5bFC5%5d
にメモがある(test2とかをベースにしてたりしますが、大きな変更はないはず）
＃↑のメモをまとめたかったのですが、間に合いませんでした。

なお、ポリシーのソースがなくとも、リファレンスポリシーのマクロだけは使える。
これはなかなか便利。
デフォルトで、/usr/share/selinux/develに入っている。
使い方メモは、
http://d.hatena.ne.jp/himainu/20060131#1138733060
＃パスがちょっと違います

3. MCS/MLS機能
　新たなアクセス制御機能が追加。デフォルトでは、機能は有効なだが使われてない。
　これも、http://d.hatena.ne.jp/himainu/searchdiary?word=%2a%5bFC5%5d
　にメモが。

4. その他
auditdがデフォルトでは入ってない。ログは/var/log/messagesまたはdmesgで閲覧。