ポリシを推測ボタン

動作テスト前に、ある程度必要なポリシを洗い出してくれるボタン。
これにより、動作テストの手間を減らすことができる。

とはいっても、凄いことをやっているわけではない。
rpmパッケージに含まれるファイルには最低限読み込みアクセスぐらいはするだろう、
という発想から来ている。
この方法は、「SELinux徹底ガイド」で書いた気がする。

例えば以下のようになる。

• /usr/sbin/vsftpd　用ドメインを作るとする
• 「ポリシを推測ボタン」を押す
• rpm -qf /usr/sbin/vsftpdで、バイナリが所属するrpmパッケージを知る(vsftpdに所属することがわかる)
• rpm -ql vsftpd
• 表示されたファイル名一覧のうち、「/usr/share/doc」など、一般的にプログラムがアクセスしないようなものを除外
• /etc/vsftpd, /var/ftp, /usr/sbin/vsftpd というファイルリストが得られる
• 得られたファイルリストのファイルに対して「読み込み」を許可するようなポリシを生成

ちなみに、ダウンロード先のリンクは
↓のような変なURLになっている。。
http://sourceforge.net/project/downloading.php?group_id=135756&use_mirror=osdn&filename=seedit-policy-2.1.0-0.1.beta5.fc6.noarch.rpm&79804962
最後の数字が気になるが、これを省くとダウンロードがうまくいかない。

SELinuxのポリシ自動生成で困ること

前にも書いた気がするが、思い出したので。
SELinuxのアクセス拒否ログは、全てのものが出るわけではない。
同じようなアクセスをすると、省かれる。
違うファイルへのアクセスでも、タイプが一緒だと、アクセス拒否ログが省かれたり。
この点、アクセスログをもとに、ポリシを自動生成する場合は不利。
なので、動作テスト前に予め必要そうなポリシを書いておくのは、手間を省く上で重要。

TOMOYO Linuxの場合は、アクセスログを全部取るんですよね？
＃誰かを召喚？（汗

SELinuxで、拒否ログを全部取らない理由をだいぶ昔に聞いたような気がする。
パフォーマンス上の理由だった気が。
が、動作テスト時は全部取れたほうがありがたい気がするが、どうなんだろ。
もっとも、気をつけないと、凄いログがでそうだが。。