8.10 プロセス間通信のアクセス制御設定

8.10.1 allowcom (ネットワークソケット)

1. シンタックス
   allowcom -tcp$\mid$-udp$\mid$-unix todomain;
2. 意味
   プロセス間通信においてソケットの使用を制御します。todomainがglobalの場合、ドメインはすべてのドメインと通信できます。
3. 例
   {
   domain httpd_t;
   allowcom -unix syslogd_t;
   ...
   httpd_tはunixドメインソケットによって、syslogd_tを持つプロセスと通信できることを意味します。
   

4. 制約
   -tcpと-udpはカーネル2.6ベースのSELinuxにおいて使用できません。明記しても何も起こりません。

8.10.2 allowcom (IPC)

1. シンタックス
   allowcom -sem$\mid$-msg$\mid$-msgq$\mid$-shm$\mid$-pipe to domain [r],[w];
2. 意味
   指定されたIPCにより、to domainを用いての通信を許可する。
   to domainがself(自分自身)の場合は、そのドメイン内のIPCを意味します。また、to domainがglobalの場合は、すべてのドメインに対してIPCの設定ができます。

8.10.3 allowcom(シグナル)

1. シンタックス
   allowcom -sig to domain [c],[k],[s],[o];
2. 意味
   to domainへのシグナル送信を許可します。[c]はsigchld、[k]はsigkill、[s]はsigstop、[o]は他のシグナルを表しています。ただし、signullについてはサポートがなされていません。すなわち、signullについてはすべてのドメインにおいて使用が許可されていることを意味してます。