■
修正
statの返り値をちゃんと見るように変更。
PANDAさんありがとうございます。
他にも怪しい箇所が山盛りかも。。。
シンボリックリンクの扱いが怪しい
allow /var/mail/**
(/var/mail -> /var/spool/mail という関係)
とした場合、
file_contextsに
/var/mail(/.*)?
というのを吐き出してしまう。大丈夫かチェックせねば
変更点
allowprivのうち、POSIX capability由来のものは、
capabilityと同じ名前にした。
allowpriv memlock -> allowpriv cap_ipc_lock
結局、詳しい意味を知るには
man capabilitiesせざるをえないので、
こっちのほうが便利。
あとは、省略したcapabilityも互換性のために復活させたほうがいいのかも。
どうせaudit2spdlで生成できるし。。