SELinux Policy Editor(seedit)インストールガイド 2.1

中村　雄一¹

このドキュメントは、SELinux Policy Editorのインストール方法を解説しています。

1 動作環境

Fedora Core6およびCent OS 4.3での動作を確認しています。 Fedora Core 5でも動く可能性は高いです。

2 インストール

利用ディストリビューションによってインストール方法は違います。

2.1 rpmパッケージのインストール(Fedora Coreの場合)

SEEditは、Fedora Extrasに含まれているため、簡単にインストールできます。

#yum install seedit-gui
(seedit,seedit-policy,seedit-guiパッケージが導入されます)

GUIが不要な場合は、以下のようにします。

#yum install seedit-policy	
(seedit,seedit-policyパッケージが導入されます)

SEEditを初期化し、リブートします。

# /usr/sbin/seedit-init
# reboot

/usr/sbin/seedit-initはseeditを使うための初期化作業をしてくれるコマンドです。/etc/selinux/configの編集、auditdの起動、ポリシの初期化などを行ってくれます。
再起動時、ファイルのラベルが自動的に付与され直しされます。数分かかります。その後、リブートされます。 Fedora Core 6の場合、さらにもう一度リブートがかかります(途中で画面が青くなっても問題はありません)。

無事ログインできたら、完了です。
なお、auditdサービスが起動するようになっています。これは詳細なSELinuxのログを/var/log/audit/audit.logに取ることができ、ポリシ自動生成機能をより便利に使うために必要ですので、このサービスは有効にしておくことを強く薦めます。
これでインストールは終わりです。インストールされているか確認するには、4章を参照してください。

2.2 rpmパッケージのインストール(Cent OSの場合)

RPMパッケージを使うことで簡単にインストールできます

必要なパッケージ
checkpolicy,auditパッケージが必要です。以下でインストールしておきます (CentOSではデフォルトで入っています)。
```
# yum install checkpolicy audit
```
ファイルを入手
以下より、seedit,seedit-policy,seedit-doc, seedit-guiパッケージを入手します。 X Window Systemが入ってない場合は、seedit-guiはダウンロードしません。
```
http://seedit.sourceforge.net/ja/download.html
```
seeditパッケージには、SEEditの中核をなすライブラリやコマンド群が入っています。 seedit-policyには、サンプルのポリシ(SPDLで書かれた単純化ポリシ)が入っています。seedit-guiには、GUIが入っています。
rpmパッケージをインストール
入手したrpmパッケージを以下のようにインストールし,リブートします。
```
$ su  - 
# rpm -ivh seedit-*.rpm
# /usr/sbin/seedit-init
# reboot
```
/usr/sbin/seedit-initはseeditを使うための初期化作業をしてくれるコマンドです。/etc/selinux/configの編集、auditdの起動、ポリシの初期化などを行ってくれます。
再起動時、ファイルのラベルが自動的に付与され直しされます。数分かかります。その後、リブートされます。 Fedora Core 6の場合、さらにもう一度リブートがかかります(途中で画面が青くなっても問題はありません)。
無事ログインできたら、完了です。
なお、auditdサービスが起動するようになっています。これは詳細なSELinuxのログを/var/log/audit/audit.logに取ることができ、ポリシ自動生成機能をより便利に使うために必要ですので、このサービスは有効にしておくことを強く薦めます。
CentOS 4の注意点
CentOS 4のSELinuxパッケージに含まれるラベル初期化コマンド(fixfiles)のバグにより、初期化がうまくいかないことがあります。具体的には、「今までにstrcitポリシーを使ったことがある」または「RBACを有効にしたことがある」場合は、以下のコマンドで初期化する必要があります。
```
# setfiles /etc/selinux/seedit/contexts/files/file_contexts  / -F -vv
# reboot
```
インストールは終わりです
インストールされているか確認するには、4章を参照してください。

2.3 アンインストール

アンインストールは簡単です。

# rpm -e seedit-policy seedit
# reboot

再起動時、SELinuxのtargeted policy(Fedora Coreデフォルト)の、permissive モードで起動します。

3 何が影響されるか？

インストールによって、 /etc/selinux/configが以下のように編集されます。

SELINUX=permissive	
SELINUXTYPE=seedit

それ以外は、既存のシステムに影響を及ぼしません。

4 動作確認

seeditが正しくインストールされているか否かは、GUIおよびコマンドラインから確認可能です。

4.1 GUIで動作確認

Gnomeのメニューから、システム $\rightarrow$ 管理 $\rightarrow$ SELinux Policy Editor、を選択します(Fedora Core6の場合。何か端末を開き「seedit-gui」と入力しても起動します)。rootユーザーのパスワードを入力すると、図 1のような画面が現れます。

**Figure 1:** SELinux Policy Editor コントロールパネル

ここから、 ステータスを選択すると、図 2のような画面が現れます。seeditがインストールされている？　はいと表示されればインストールは成功です。

**Figure 2:** Status

4.2 コマンドラインで動作確認

次のような出力になれば成功です。

# sestatus
SELinux status:                 enabled
Current mode:                   permissive
Mode from config file:          permissive
...
Policy from config file:        seedit

「Policy from config file: seedit」となってます。

4.3 次は何をする？

どうやって設定をしていくかの詳細は「SELinux Policy Editor管理ガイド（マニュアル）」を参照してください。また、インストール直後は、Permissiveモードになっていることに気を付けます。 Permissiveモードでは、SELinuxはシステムを守ってくれません。実運用時はどうするかについても、管理ガイドに載っています(Enforcingモードに切り替えます)。

About this document ...

SELinux Policy Editor(seedit)インストールガイド 2.1

This document was generated using the LaTeX2HTML translator Version 2002-2-1 (1.71)

The command line arguments were:
latex2html -local_icons -show_section_numbers -link 2 -split +0 install.tex

The translation was initiated by Yuichi Nakamura on 2007-02-13

Footnotes

...中村　雄一 ¹: himainu-ynakam@miomio.jp

Yuichi Nakamura 2007-02-13