A maneira primária de construir um arquivo de política para o kernel é compilá-lo do arquivo de código fonte da política usando o programa checkpolicy. O arquivo fonte é tipicamente chamado policy.conf
Figure Figura 3.6::
Construção de Políticas SELinux
|
|
Na verdade, o ideal é que a maioria dos administradores não tenham que modificar ou criar novas políticas SELinux, elas já são pré-definidas pelos desenvolvedores e envolvem bastante conhecimento sobre fundamentos de segurança, na linguagem da política e até mesmo da aplicação que quer se confinar dentro da política. Apenas em três casos o administrador deverá modificar ou criar políticas SELinux:
- Quando a aplicação que se deseja confinar não é comum, e ainda não existe uma política SELinux definida que possa ser aplicada. Nesse caso deve ser criado um módulo de política especificamente para a aplicação;
- Quando for encontrada alguma característica especial no uso de uma aplicação que não foi prevista pelos desenvolvedores do SELinux, ou alguma personalização que escape do modo usual da aplicação (como rodar em diretórios diferentes dos padrões, por exemplo). Nesse caso a política de referência para a aplicação pode ser modificada para atender à essas personalizações;
- Quando for encontrado algum bug, problema de implementação ou interpretação na política SELinux. Nesse caso o bug deve ser notificado através da lista ``selinux-devel@lists.alioth.debian.org''. Antes de notificar o bug, verificar sempre se o sistema operacional e as políticas estão atualizados para aa última versão disponível. Como o desenvolvimento e correção das políticas SELinux é constante, pode ser que esse problema já tenha sido resolvido e uma simples atualização corrige o problema sem que o administrador tenha que criar um módulo de política para correção do bug.
Subsections
Jeronimo Zucco
2008-04-26
![\includegraphics[width=35em]{policy.eps}](img27.png)