policygentool

これは、FC5リリース当初はほとんど意味ないツールだったが、
かなり進歩している。y/nを答えることで、ポリシーのテンプレート作成。
/usr/share/selinux/devel/policygentoolが本体。

audit2allowの強化

audit2allowもいつのまにか強化されてた。。
「-R」オプションがすごい。refpolicyのマクロを生成してくれるらしい。
テストで、
以下のログを読み込ませてみる。

Jul 12 22:30:01 localhost kernel: audit(1152757801.311:187):
avc: denied { create } for pid=2534 comm="httpd"
name="46726F6E7450616765.rel" scontext=user_u:system_r:httpd_t:s0 tcontext=user_u:object_r:var_log_t:s0 tclass=file

で、
audit2allow -i test.log -R
とすると、以下が出力！

#allow httpd_t var_log_t:file create;
optional_policy(`logging', `
logging_manage_generic_logs(httpd_t)
');

これは凄いかもしれない。Refpolicyの問題が一つ解決されたかも。

と、ようやくintrajpさんが言っていたことの意味が分かった。
SELinux本家も、使い易さの強化を意識し始めていると思われます。
AppArmorというライバルの存在はやっぱり重要かも？？

http://intrajp.no-ip.com/webon/?contents_request=on&body_request=server_fedora_5
に-Rオプションが紹介されてました。