今日の修正
Simplified Policyのディレクトリ構造整理。
- 拡張子名を「.sp(Simplified Policy)」に変更。
- .aだったのは、あんまりなので。
- core,apps,servicesディレクトリに分割配置。
- coreは、システム関連のポリシ。appsは、普通のコマンド類。servicesにデーモンの設定を入れる。
- converter.confにproc_mount_pointをいれ、/proc,/var/named/chroot/procを登録。ここに登録されたものは、/proc(/.*)? <
>のようになり、ラベル付けされない。 - FC5では、restoreconとかで/procのラベルを付け変えができてしまうので
seeditの長所をひとつ思いついた。
タイプ定義の依存関係からも開放される。
domain hoge_t
allowcom -sig other_t *;
これは、「hoge_tが、other_tドメインにシグナルを送れる」の意味。
普通のSELinuxでこの設定を書くと、
other_tドメインが定義されていないとエラーになる。
で、依存関係地獄に陥る。
seeditでは、ドメインが定義されてない時は、
単に設定をスキップするので、依存関係地獄はない。great。