2006年6月 4日

[selinux-users:01625] template

藤原@eucjp です。

SELinuxが新しくなって、マクロが爆発的に増えた
というのは、先日の勉強会でも話題になっていました。
確かに、一般の人にとってそんなに増えたって迷惑なだけ
かもしれませんが、実はプロにとっては、
これほどありがたいものはありません。
又、最近のプログラム言語になれた方なら、無理なく

受け入れられる機能です。

私は、mysqlモジュールを削除し、mysql_by_meモジュールを
作っていて、
テンプレートのよさがいまいち分からなかったんですが、
試してみると、ガッテンしました。
「mysqlなら、デフォルトの使えばいいじゃん」ということなんですが、
サードパーティーのアプリケーションの場合、絶対必要です。

RedHatは、その辺をにらんでいると思われます。

########################################
##


## for connecting and communicating whith mysql_by_me.
##

##
## Domain allowed to connect and communicate.
##
#

interface(`mysql_by_me_connect',`
gen_require(`
type mysql_by_me_t;
type mysql_by_me_dir_t;
type mysql_by_me_lib_t;
type mysql_by_me_share_t;
')

allow $1 mysql_by_me_t:process { signal signull };
allow $1 mysql_by_me_t:unix_stream_socket connectto;
allow $1 mysql_by_me_dir_t:dir { search };
allow $1 mysql_by_me_lib_t:dir { search };
allow $1 mysql_by_me_lib_t:file rx_file_perms;
allow $1 mysql_by_me_lib_t:lnk_file r_file_perms;
allow $1 mysql_by_me_share_t:dir { search };
allow $1 mysql_by_me_share_t:file r_file_perms;
')

などと作成しておき、
apache.te
の方で、

mysql_by_me_connect(httpd_t)

と1行書くだけです。
実際私のサーバでやってみたらできました。

サードパーティのプログラマがこのように作成し、
rpmに潜り込ませて、ポリシーをロードすると、
他のサードパーティのプログラマもそれ見て、
自分のポリシを直す。

そうすると、今後の方向性は、

1 テンプレートしか使わなくさせる。
2 ポリシを一覧できる仕組みを作る。

なんてなりそうで、要するに、
テンプレートの作り方になれた方がよさそう。
ということになると思います。
私がテンプレートを印刷したのは、
決してシャレでやってみたのではなく、
真剣に使おうと思っているからです。

結構 SELinuxって 先進的、今風ですね。


投稿者 xml-rpc : 2006年6月 4日 15:38
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/37202
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。