system-config-selinuxのデフォルト搭載

semanageのGUIフロントエンド。
semanageコマンドの使い方が分かってる人向けのGUI。

setroubleshootのデフォルト搭載

GUIは起動しない（汗　
ログインのたびにsetroubleshoot(sealert)のエラーが出てきてうざい。これが嫌でSELinuxをきる人がいそうで怖い。
バグも報告されてるようだが、Rawhideの使えといわれてるっぽい。
setroubleshootのコマンドライン版の使い方
sealert -a /var/log/audit.log
でとりあえず、コマンドライン版は使える

disable_trans booleanの廃止（F7のみ）

httpd_disable_transなどのbooleanが廃止された。
たぶん、semodule　-r でモジュールきれってことだろうけど、
httpdなどはbaseパッケージに入ってるのでoffにできないなぁ。

secmark(F7のみ)

/lib/iptables/libipt_SECMARK.so
など、SECMARKの要素も今回はデフォルト搭載。
遊んでみたい人は、
http://securityblog.org/brindle/2007/05/28/secure-networking-with-selinux/

audit2allowがsepolgenに置き換え

sepolgen(別名Madison)と呼ばれるものをKarl MacMillanが作っていたが、
audit2allowがsepolgenを使って書き換えられている。
selinux-policy-develを入れると、refpolicyを使った設定を提示してくれる。
audit2allow -Ra
などとすると、refpolicyのマクロが提示される。
以前のaudit2allowも、refpolicyのマクロ提示があったが、全然駄目だった。今回はだいぶ賢くなった気がする。

まぁ、そんなに大きな変更はないか。
最大の変更は、disable_trans booleanの廃止かも。
これまで、私とか、
「SELinux全部OFFにするぐらいなら、disable_trans booleanで、部分的にOFFにしてでも使いましょう」
みたいに言ってきたが、逃げ道が無くなった(汗
あとは、なにげにsetroubleshootの活用が重要な気がする。