2007年8月 9日

[selinux-users:01978] Re: targeted policy は、将来 strictpolicy に統合される

藤原です。

SELinux の strict policy をサーバで走らせています。
FC6までは、yum update を最小限しかしなかったんです。
でも、F7 で冒険してみたら、案の定ハマりました。

今日現在の最新版は、semoduleでポリシがインストールできません。
strict policy に入っていないクラスを要求してきます。

これは、邪推ですが、strictとtargetedの合体の過程なのだと思います。
開発者も、まだ...が安定していないから...だ。
なんて言ってます。
そうです、Fedoraは実験バージョンなんです。
開発者たちは、実際には、rawhide という、本当の不安定バージョンを
好んで使っています。
Fedoraの安定バージョンは、不安定バージョンのrawhideだ、と皮肉ってみます。
その雰囲気を感じるには、F7は最適ですが、安定稼働はできません。
そこで、私は、F7のデフォルトポリシにダウングレードしました。

#rpm -Uvh --oldpackage selinux-.....

とかするとできました。
libselinux,checkpolicy,libsemanage,policycoreutils等もダウングレードしました。

又、strict policy でログインできない問題は、インタフェースを使用することで
解決できます。

F8 になると、もっと問題が出てきそうです。
本家のメーリングリストで、
こんな不安定で、よくライセンスが取れたな、と専門家から質問がありました。
でも、SELinux自体を責めることはできません。
どう設定するかは、管理者に任せられています。

もうちょっと待つと、本当に安定するかもしれません。
自分は、あるところで見切りをつけて使っています。

私の自宅サーバを数日止めていますが、もうすぐ復活するはずです。
ポリシさえインストールできればこちらのものです。

p.s.
私もrawhideを使ってみたくなりました。


07/08/03 に himainu-ynakam@xxxxx<himainu-ynakam@xxxxx> さんは書きました:
> 中村です。
>
> in message "[selinux-users:01975] targeted policy は、将来 strict policy に統合される",
> "Shintaro Fujiwara" wrote:
> > 藤原です。
> >
> > targeted policy が含むポリシの数が爆発的に増えたと思ったら、
> > どんどん、confie していって、strictポリシと一体化させるつもりらしいです。
> > Fedora8 では、又、Fedora Core 5 でおきたような大変革がおきるかもしれません。
> > ここで、roleを規定している箇所をどうするかという問題があるみたいです。
> > /homeですかね。
> >
> > templateというところが問題になるそうです。
> >
> > そうすると、refpolicy が本当の標準になるでしょう。
> > refpolicyメーリングリストを作る案もあるみたいです。
> > もし、refpolicyのメーリングリストができたら,
> > 貢献しやすいと思いますよ。
> > ポリシ書きそのものですから。
>
> 私もちゃんと追ってませんが、
> targetedにポリシモジュールを加えるとstrictになるようにするんでしょうか。。
>
> Fedora 7を入れてみたら、targetedポリシーから、
> 「httpd_disable_trans」のようなbooleanがなくなってました。
> 「部分的にSELinuxを切って運用」のような軟弱なことはできなくなってます。
> これも、strictへの統合の道なのでしょうか。
>
>
>
>
>

投稿者 xml-rpc : 2007年8月 9日 21:43
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/62841
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。