SELinux Policy Editor(seedit)インストールガイド 2.0

中村　雄一¹

このドキュメントは、SELinux Policy Editorのインストール方法を解説しています。

1 動作環境

Fedora Core5およびCent OS 4.3での動作を確認しています。開発は、Fedora Core5ベースで行っています。

2 RPMから導入

RPMパッケージを使うことで簡単にインストールできます

必要なパッケージ
checkpolicy,auditパッケージが必要です。以下でインストールしておきます (CentOSではデフォルトで入っています)。
```
# yum install checkpolicy audit
```
ファイルを入手
以下より、seedit-converter,seedit-policy,seedit-doc, seedit-guiパッケージを入手します。 X Window Systemが入ってない場合は、seedit-guiはダウンロードしません。
```
http://selpe.sourceforge.jp/download_jp.html
```
ファイル名は、 seedit-converter-2.0.0.(ディストリビューション名).i386.rpm, seedit-policy-2.0.0-(ディストリビューション名).i386.rpm, seedit-gui-2.0.0-1.noarch.rpm,seedit-doc-2.0.0-1.noarch.rpmとなってます。

seedit-converterには、Simplified PolicyをSELinuxのポリシに変換するツールと、Simplified Policy管理ツールが同梱されています。seedit-policyには、 simplified policyが格納されています。seedit-guiは、GUIです。
rpmパッケージをインストール
入手したrpmパッケージを以下のようにインストールし,リブートします。
```
$ su  - 
# rpm -ivh seedit-*.rpm
# reboot
```
初期化
再起動時、ファイルのラベルが自動的に付与され直しされます。数分かかります。その後、リブートされます。 Fedora Core 5の場合、さらにもう一度リブートがかかります(途中で画面が青くなっても問題はありません)。無事ログインできたら、完了です。
なお、auditdサービスが起動するようになっています。これは詳細なSELinuxのログを/var/log/audit/audit.logに取ることができ、ポリシ自動生成機能をより便利に使うために必要ですので、このサービスは有効にしておくことを強く薦めます。
CentOS 4の注意点
CentOS 4のSELinuxパッケージに含まれるラベル初期化コマンド(fixfiles)のバグにより、初期化がうまくいかないことがあります。具体的には、「今までにstrcitポリシーを使ったことがある」または「RBACを有効にしたことがある」場合は、以下のコマンドで初期化する必要があります。
```
# setfiles /etc/selinux/seedit/contexts/files/file_contexts  / -F -vv
# reboot
```
インストールは終わりです
インストールされているか確認するには、5章を参照してください。
アンインストール方法
アンインストールは簡単です。
```
# rpm -e seedit-policy seedit-converter	
# reboot
```
再起動時、SELinuxのtargeted policy(Fedora Coreデフォルト)の、permissive モードで起動します。

3 ソースからのインストール方法

ファイル入手
seedit-converter-2.0.0.tgz and seedit-policy-2.0.0.tgz,seedit-gui-2.0.0.tgzを以下からダウンロードします。
```
http://sourceforge.net/project/showfiles.php?group_id=135756
```

コンパイルとインストール

# tar czvf seedit-*.tgz
# cd seedit-converter
# make install DISTRO=(FC5またはCOS4)
# cd .. 
# cd seedit-policy
# make install DISTRO=(FC5またはCOS4)
# cd ..
# cd seedit-gui
# make install
# touch /.autorelabel
# reboot

初期化ログインしたら、以下のコマンドで初期化作業を行います。
```
#restorecon -R /etc
#seedit-load -v
#chkconfig auditd on
#/etc/init.d/auditd start
#reboot
```
seedit-loadコマンドは、SPDLで書かれたポリシ(Simplified Policy)を、 SELinuxのポリシに変換し、カーネルに読み込ませたり、ファイルとタイプの関連付けを直したりするコマンドです。このコマンドを入力することで、自分のシステムに合わせたポリシを生成してくれます（このコマンドを入力する前は、rpmパッケージ開発者の環境に適したポリシが生成されてます。）
アンインストール
次のようにして、Fedora Coreデフォルトの状態に戻ることができます。 /etc/selinux/configを以下のように編集します。
```
SELINUXTYPE=seedit
-->
SELINUXTYPE=targeted
```
次のコマンドを入力し、再起動します。
```
#touch /.autorelabel
#reboot
```

4 何が影響されるか？

インストールによって、 /etc/selinux/configが以下のように編集されます。

SELINUX=permissive	
SELINUXTYPE=seedit

それ以外は、既存のシステムに影響を及ぼしません。

5 動作確認

seeditが正しくインストールされているか否かは、GUIおよびコマンドラインから確認可能です。

5.1 GUIで動作確認

Gnomeのメニューから、デスクトップ $\rightarrow$ 管理 $\rightarrow$ SELinux Policy Editor、を選択します。rootユーザーのパスワードを入力すると、図 1のような画面が現れます。

**Figure 1:** SELinux Policy Editor コントロールパネル

ここから、 ステータスを選択すると、図 2のような画面が現れます。seeditがインストールされている？　はいと表示されればインストールは成功です。

**Figure 2:** Status

5.2 コマンドラインで動作確認

次のような出力になれば成功です。

# sestatus
SELinux status:                 enabled
Current mode:                   permissive
Mode from config file:          permissive
...
Policy from config file:        seedit

「Policy from config file: seedit」となってます。

5.3 次は何をする？

どうやって設定をしていくかの詳細は「SELinux Policy Editor管理ガイド（マニュアル）」を参照してください。また、インストール直後は、Permissiveモードになっていることに気を付けます。 Permissiveモードでは、SELinuxはシステムを守ってくれません。実運用時はどうするかについても、管理ガイドに載っています(Enforcingモードに切り替えます)。

About this document ...

SELinux Policy Editor(seedit)インストールガイド 2.0

This document was generated using the LaTeX2HTML translator Version 2002-2-1 (1.70)

The command line arguments were:
latex2html -local_icons -show_section_numbers -link 2 -split +0 install.tex

The translation was initiated by on 2006-07-05

Footnotes

...中村　雄一 ¹: himainu-ynakam@miomio.jp

2006-07-05