Simplified Policyのディレクトリ構造整理。

• 拡張子名を「.sp(Simplified Policy)」に変更。
  • .aだったのは、あんまりなので。
• core,apps,servicesディレクトリに分割配置。
  • coreは、システム関連のポリシ。appsは、普通のコマンド類。servicesにデーモンの設定を入れる。
• converter.confにproc_mount_pointをいれ、/proc,/var/named/chroot/procを登録。ここに登録されたものは、/proc(/.*)? <>のようになり、ラベル付けされない。
  • FC5では、restoreconとかで/procのラベルを付け変えができてしまうので

seeditの長所をひとつ思いついた。
タイプ定義の依存関係からも開放される。
domain hoge_t
allowcom -sig other_t *;
これは、「hoge_tが、other_tドメインにシグナルを送れる」の意味。
普通のSELinuxでこの設定を書くと、
other_tドメインが定義されていないとエラーになる。
で、依存関係地獄に陥る。

seeditでは、ドメインが定義されてない時は、
単に設定をスキップするので、依存関係地獄はない。great。