■
FC5をゲットした。
test3からの違いとして、
auditdが標準で入ってないことに気づく。
これには驚いた。まぁ、こっちのほうがいいと思うが。
いつもauditdは切ってたしw
auditdが欲しい人は、yum install auditする必要。
以下selinux-usersに投稿したメモ。
FC5 SELinuxの変更点メモ
「一般のユーザ向けSELinux」と「開発者向けSELinux」が分かれた。
新機能「MLS/MCS」も追加された。
1. 一般のユーザ向けSELinux
「バイナリ形式のポリシ」を扱うことを前提としている。
ポリシーのソースには触らない。
1.1 ポリシーに直接触らずポリシの調整を出来る機能
- boolean
今まで通り。system-config-securitylevelで簡単な調整可
- semanageコマンド
ファイル、ポート番号のラベルを張り替えるためのコマンド。
man semanage参照
system-config-selinuxというGUIを開発中らしいが、FC5に間に合ってないようだ。
1.2 ポリシーの追加: ポリシーモジュール機能
ポリシーを分割して管理するための機能である、ポリシーモジュール機能が追加。
これに伴い、audit2allowでポリシーを追加するときの手順が変わった。
最良のドキュメントは
$ man audit2allow
日本語:
http://intrajp.no-ip.com/himainu/audit2allow.html
2. 開発者向けSELinux
リファレンスポリシー(refpolicy)が目玉。
http://serefpolicy.sourceforge.net/
refpolicyを一言で言うと「整理されたマクロで書かれたポリシー」。
今回、ポリシのソースはrefpolicyの書式で一から書き直された。
また, デフォルトでは、ソースはインストールされない。
selinux-policyのsrc.rpmを持ってくる必要がある。
FC5のrefpolicyの最低限のインストール及び使い方(とその他メモ)については、
http://d.hatena.ne.jp/himainu/searchdiary?word=%2a%5bFC5%5d
にメモがある(test2とかをベースにしてたりしますが、大きな変更はないはず)
#↑のメモをまとめたかったのですが、間に合いませんでした。
なお、ポリシーのソースがなくとも、リファレンスポリシーのマクロだけは使える。
これはなかなか便利。
デフォルトで、/usr/share/selinux/develに入っている。
使い方メモは、
http://d.hatena.ne.jp/himainu/20060131#1138733060
#パスがちょっと違います
3. MCS/MLS機能
新たなアクセス制御機能が追加。デフォルトでは、機能は有効なだが使われてない。
これも、http://d.hatena.ne.jp/himainu/searchdiary?word=%2a%5bFC5%5d
にメモが。
4. その他
auditdがデフォルトでは入ってない。ログは/var/log/messagesまたはdmesgで閲覧。