F7のSELinux
ようやくFedora 7を触り始める。
SELinux的な変更点を列挙してみる。
以下の多くは、Fedora Core6にも、途中からアップデートで入っていたりするので、
ある意味「変更点」とは言えないのだが。
setroubleshootのデフォルト搭載
GUIは起動しない(汗
ログインのたびにsetroubleshoot(sealert)のエラーが出てきてうざい。これが嫌でSELinuxをきる人がいそうで怖い。
バグも報告されてるようだが、Rawhideの使えといわれてるっぽい。
setroubleshootのコマンドライン版の使い方
sealert -a /var/log/audit.log
でとりあえず、コマンドライン版は使える
disable_trans booleanの廃止(F7のみ)
httpd_disable_transなどのbooleanが廃止された。
たぶん、semodule -r
httpdなどはbaseパッケージに入ってるのでoffにできないなぁ。
secmark(F7のみ)
/lib/iptables/libipt_SECMARK.so
など、SECMARKの要素も今回はデフォルト搭載。
遊んでみたい人は、
http://securityblog.org/brindle/2007/05/28/secure-networking-with-selinux/
audit2allowがsepolgenに置き換え
sepolgen(別名Madison)と呼ばれるものをKarl MacMillanが作っていたが、
audit2allowがsepolgenを使って書き換えられている。
selinux-policy-develを入れると、refpolicyを使った設定を提示してくれる。
audit2allow -Ra
などとすると、refpolicyのマクロが提示される。
以前のaudit2allowも、refpolicyのマクロ提示があったが、全然駄目だった。今回はだいぶ賢くなった気がする。
まぁ、そんなに大きな変更はないか。
最大の変更は、disable_trans booleanの廃止かも。
これまで、私とか、
「SELinux全部OFFにするぐらいなら、disable_trans booleanで、部分的にOFFにしてでも使いましょう」
みたいに言ってきたが、逃げ道が無くなった(汗
あとは、なにげにsetroubleshootの活用が重要な気がする。