Welche SELinux Policy?

Dieses Buch betrachtet in erster Linie die SELinux Reference-Policy, die auf http://serefpolicy.sf.net gepflegt wurde und nun unter http://oss.tresys.com zu finden ist. Ältere Distributionen (zum Beispiel Fedora Core 3, 4 und Red Hat Enterprise Linux 4) verwenden häufig auch noch die SELinux Example-Policy, die auf http://selinux.sf.net gepflegt wird. Sollten Sie eine derartige Distribution einsetzen wollen, sollten Sie auch das Kapitel V lesen. Hier wird auf die Unterschiede eingegangen.

Die wesentlichen Ziele, die zur Entwicklung der neuen Reference Policy geführt haben, waren:

• Einen Quelltext für die Erzeugung aller Policy-Varianten: Targeted, Strict und MLS.
• Integrierte Dokumentation innerhalb der Policy.
• Modularität und Kapselung der einzelnen Bestandteile.
• Vereinfachte Verwaltung und Übersetzung.
• Integrierte Unterstützung von MLS.

Obwohl die Modularität die tägliche Arbeit mit der Policy vereinfacht, kann dieses Ziel erst richtig verstanden werden, wenn auch der SELinux Policy Management Server (siehe 40) eingesetzt wird. Dieses Projekt befindet sich noch in der Entwicklung und wird die zentrale Administration der Policy durch unterschiedliche Benutzer erlauben.

Sowohl bei Einsatz der Example Policy als auch bei der Reference Policy bieten viele Distributionen sowohl eine Targeted als auch eine Strict-Policy als Variante an. Die meisten einführenden Beispiele basieren auf der Targeted-Variante. Diese Variante ist bei den meisten Distributionen der Default und erlaubt die verständlichere Darstellung der Beispiele. Die Eigenschaften der Targeted-Policy werden in dem Kapitel 23 besprochen. Viele Befehle sind jedoch nur bei Einsatz der Strict-Variante sinnvoll (z.B. newrole). Deren Unterschiede werden in dem Kapitel 24 besprochen.