新seeditのポリシの例。

Apacheでテストページが見れるポリシを作ってみた。

{
#ドメインの宣言とドメイン遷移
domain httpd_t;
domain_trans initrc_t,unconfined_t /usr/sbin/httpd;

# 最低限のファイルへのアクセス（/dev/nullなど）
include common-relaxed.in;
# デーモンとしての共通権限（/tmpに一時ファイル作成など)
include daemon.in;
# /etc/hosts,resolve.confなどへのアクセス
include nameservice.in;

#Apache固有のファイルアクセス
allow /etc s;
allow /etc/httpd/** r,s;
allow /var/log/httpd/** r,a,s;
allow /var/www/** r,s;
allow /var s;
allow /var/run/** s;
allow /etc/php.d/** r,s;
allow /etc/php.ini r,s;
allow /etc/mime.types r,s;
allow /etc/pki/** r,s;

#80,443ポートをつかってサーバーとしてふるまう
allownet -protocol tcp,udp use;
allownet -protocol tcp -port 80,443 server;
}

これでおしまい。AppArmorとそう変わらん気もする。
AppArmorのprofileもある程度import可能な気がしてきた。
逆に，seedit->AppArmorのprofile変換なんてのもできちゃうかも。