5.2 単純化ポリシ用ディレクトリのコンテンツ

単純化ポリシのサンプルは、「/etc/selinux/seedit/src/policy/」にあります。 いくつかのディレクトリとファイルが配置されています。

5.2.1 simplified_policy

これは最も重要な機能です。単純化ポリシのサンプルは、このディレクトリに 記録されています。単純化ポリシのシンタックスの詳細については、8を御覧下さい。
単純化ポリシのサンプルは、globalとドメイン名.teにおいて記述されています。

• global
  すべてのドメインに共通して使われる設定です。ただし、いくつかのアクセス権限はSELinuxを簡単なものにするためにデフォルトで許可されていることに注意して下さい。(例えば、tmpfsの使用やttyデバイスアクセスです。)
• ドメイン名.a
  ドメインの設定について説明します。例えば、httpd_t.aファイルにおいては、httpd_tドメインのための設定が記述されています。
• all
  globalと全ての.aファイルが連結されたものです。単純化ポリシコンパイラはこのファイルを読みます。このファイルは自動的に生成されるものであり、編集してはいけません。

5.2.2 Makefile

Makefileは単純化ポリシをコンパイルし、カーネルにポリシをロードします。5.3を御覧下さい。

5.2.3 base_policy

このディレクトリにあるファイルはSELinuxのポリシを生成するために単純化ポリシコンパイラによって使用されます。

• default.te
  このファイルは有用です。なぜなら、単純化ポリシコンパイラによって生成されるポリシに、このファイルの記述が含まれているからです。ファイルには、単純化ポリシにおいてデフォルトで許可されているallow文が記述されています。従って、このファイルを見れば、どのアクセスベクターやオブジェクトクラスが単純化ポリシにサポートされていないのかがわかります。
  例を以下に示します。

  allow global self:capability ~{ net_raw net_bind_service 
  net_admin sys_boot sys_module sys_rawio sys_ptrace sys_chroot };
  

  生成されたSELinuxポリシにおいて、global属性が使われています。global属性 はすべてのドメインに属しています。よって、すべてのドメインは net_raw net_bind_service net_admin sys_bootなど、以上に示さ れた8つ以外に関してはケイパビリティを使用することを許されていま す。つまり、以上のアクセスベクターは単純化ポリシでサポートされていないことを意味します。

  さらに、このファイルにオリジナルのSELinuxのルールを記述できます。 auditallowルールを書くのは良いアイディアだと思います。ただ、 allowルールはこのファイルに書いてはいけません。なぜなら生成されたポリシのセキュリティを侵害しうるからです。

• attribute.te
  このファイルには、属性が記述されています。属性は単純化ポリシコンパイラによって生成されるポリシにおいて使用されています。このファイルは編集してはいけません。
• types.te
  このファイルは、タイプが記述されています。タイプは単純化ポリシコンパイラによって生成されるポリシにおいて使用されています。
  以下のファイルはオリジナルバージョンのSELinuxのポリシと同じ内容です。これらのファイルは編集してはいけません。
  • genfs_contexts
    unlabeled_tというタイプが付与されているファイルシステムはサポートしていません。
  • security_classes
  • access_vectors
  • initial_sid_contexts
  • fs_use
  • initial_sids

5.2.4 macros

SELinuxのポリシを生成するマクロがおかれています。単純化ポリシコンパイラ はマクロを含んだポリシを生成します。makeコマンドを実行すると、マクロを 含んだポリシが生成された後，m4コマンドによって処理され、policy.confが生 成されます。このpolicy.confはcheckpolicyコマンドによってコンパイル可能 なものです。

5.2.5 sepolicy

生成されたSELinuxのポリシは、このディレクトリに書き込まれます。

• test.conf
  マクロを含んだポリシーです。
• policy.conf マクロを展開した後のポリシーです。checkpolicyでコンパイル可能です。
• file_contexts
  file_contextsファイルです。