Tetsuo Handa
from-****@I-lov*****
2009年 8月 22日 (土) 09:54:25 JST
熊猫です。 以下の指定ではどうでしょう? グローバルモード設定= disabled learning permissive enforcing のいづれか 0-MAC=disabled 1-MAC=learning no_grant_log no_reject_log 2-MAC=permissive no_grant_log 3-MAC=enforcing no_grant_log カテゴリ別モード設定=disabled learning permissive enforcing default のいづれか 4-MAC::file=permissive no_grant_log 4-MAC::network=learning no_reject_log 項目別モード設定=disabled learning permissive enforcing default のいづれか 4-MAC::file::execute=enforcing 4-MAC::file::open=learning 4-MAC::file::pivot_root=disabled 3-MAC::network::tcp_bind=learning 3-MAC::network::tcp_listen=learning 3-MAC::network::tcp_connect=learning 3-MAC::network::tcp_accept=learning no_grant_log 3-MAC::network::udp_bind=enforcing no_grant_log no_reject_log 3-MAC::network::udp_connect=enforcing no_grant_log no_reject_log 3-MAC::network::raw_bind=learning no_grant_log 3-MAC::network::raw_connect=learning no_grant_log 優先順位は (1)項目別モード設定が default の場合はカテゴリ別モード設定を使用 (2)カテゴリ別モード設定が default の場合はグローバルモード設定を使用 (3)グローバルモード設定が指定されていない場合には disabled とする この他に、今後 3-MAC::foo::bar が追加されたときに 3-MAC=enforcing という デフォルト指定により 3-MAC::foo::bar=enforcing として解釈されてしまわないように プロファイル番号単位の指定とは別に PROFILE_VERSION=20090903 のような指定が 必要になります。 グローバルモード設定が指定されていない場合、そのプロファイル番号は ( disabled が指定されたものとして扱うよりも) use_profile で指定できないもの として扱うべき?
TOMOYO
Fork