2 概要

SELinux[1] は、粒度の高い強制アクセス制御をLinux上に実装し ています。しかし、アクセス制御の粒度の高さや、ポリシが複雑になってきて いることから、ポリシの理解および設定することが非常に難しくなっています。 「単純化ポリシ」は中間設定言語に書かれているポリシです。中間設定言語は ユーザからタイプラベルを隠すことによって、ポリシの記述量を減らします。 また、オブジェクトクラスとアクセスベクターの統合もしています。ユーザはSELinuxシステムを単純化ポリシにより簡単に扱うことができます。例えば、httpd_tドメインが/var/www以下を読んだり、tcpポート80番を使用したいとき、設定は次のようになります。

{
domain httpd_t;
allow /var/www r,s;
allownet -tcp -port 80;

単純化ポリシは元々日立ソフトウェアエンジニアリング株式会社 [4]によってSELinux Policy Editor[2][3]の一部の機能として開発されてき たものです。現在SELinux Policy EditorはSELinux Policy Editor Project[5]においてメンテナンスされています。また、本ツールはFedora Core 4と3に対応しています。単純化ポリシは現在利用されているSELinuxには影響を与えません。デフォルトのSELinuxに簡単に戻ることができます。気軽に試してみて下さい。