2006年4月 2日

[selinux-users:01488] FC5 refpolicy 人柱報告(MONOLITIC最終版)


藤原@人柱 です。

MONOLITHIC最終版

refpolicyフォルダを全削除し、最初からやり直した。
dmesgのエラーで、モジュール版はロードされない。

結局、北極、MONOLITHICしかダメみたいなんで...

rm -Rf /etc/selinux/refpolicy
今度は、またrefpolicyをstrictで試す。
refpolicyのzip版20060307をとってくる。
cd /usr/local/src/
bunzip2 xxx
tar -xvf xxx
cd refpolicy
make install-src
cd /etc/selinux/refpolicy/src/policy
vi build.conf

TYPE=strict
DISTRO=redhat
DIRECT_INTRO=y
MONOLITHIC=y

にして、
make install
shutdown -r now
cd /etc/selinux/refpolicy/src/policy/policy
vi users
下から9行をコピーし、hogeの設定
cd /etc/selinux/refpolicy/users
vi local.users
hogeの設定
make load しようとすると、怒られるので、
make
make install
shutdown -r now
おお、hogeユーザをstaff_rにできた。
それでは、ログを確認する。
vi /var/log/audit/audit.log
30000dd
shutdown -r now
結構出ている。
それでは、ポリシ化する。
本当は、モジュール化したいんだけど...MONOLITIC版ということで。
zzzという名前にします。
cd /etc/selinux/refpolicy/src/policy
audit2allow -i /var/log/audit/audit.log -m zzz > /etc/selinux/refpolicy/src/policy/policy/modules/LAYER/zzz.te
audit2allowでは、しょぼいので、segatexの方がいいかも
segatex
[1]
vi /etc/selinux/refpolicy/src/policy/policy/modules/LAYER/zzz.te コピペして、ポリシ化
一番上の行を空にしておく(なぜか、.teファイルの一番上は空行である)。
module...なんとかの記述(一番上)を、他の.teファイルをまねして書き直す。
requireの中括弧を消す。
3つぞろえじゃないとだめなので、
cd /etc/selinux/refpolicy/src/policy/policy/modules/LAYER
touch zzz.if(とりあえず空でよい)
touch zzz.fc(同上)
vi /etc/selinux/refpolicy/src/policy/policy/modules.conf
に、新しいモジュール(zzz)を書き加える。これを忘れると、ロードされないので注意。
make clean
make load|tee make_load_log
less make_load_log|grep zzz
確かに、ロードされたみたいだ
vi /var/log/audit/audit.log
30000dd
shutdown -r now
segatex
ログが消えたことを確認
やったぁ!
所要時間2日半...。

去年より早い...でも、土日がなくなった。

p.s.
とりあえずログを消せましたが、内容の検討はしてませんのであしからず。
あとは、実力に応じてごゆるりと...。

投稿者 xml-rpc : 2006年4月 2日 19:09
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/34329
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。