FC5でのテスト
seeditを、FC5で動かしてみた。
特に苦労することなく動いた。
で、軽いポリシを作ってみた。
AppArmor並に、
保護したいデーモンにだけポリシを用意するという方針のもの。
policy.20のルール数が3000しかない。
新seeditのポリシの例。
Apacheでテストページが見れるポリシを作ってみた。
{ #ドメインの宣言とドメイン遷移 domain httpd_t; domain_trans initrc_t,unconfined_t /usr/sbin/httpd; # 最低限のファイルへのアクセス(/dev/nullなど) include common-relaxed.in; # デーモンとしての共通権限(/tmpに一時ファイル作成など) include daemon.in; # /etc/hosts,resolve.confなどへのアクセス include nameservice.in; #Apache固有のファイルアクセス allow /etc s; allow /etc/httpd/** r,s; allow /var/log/httpd/** r,a,s; allow /var/www/** r,s; allow /var s; allow /var/run/** s; allow /etc/php.d/** r,s; allow /etc/php.ini r,s; allow /etc/mime.types r,s; allow /etc/pki/** r,s; #80,443ポートをつかってサーバーとしてふるまう allownet -protocol tcp,udp use; allownet -protocol tcp -port 80,443 server; }
これでおしまい。AppArmorとそう変わらん気もする。
AppArmorのprofileもある程度import可能な気がしてきた。
逆に,seedit->AppArmorのprofile変換なんてのもできちゃうかも。