Fedora 8 リリース

待ちに待った Fedora 8 のリリース


このバージョンから、SE-PostgreSQLパッケージがFedora Projectに統合された。(パチパチパチ)
標準のselinux-policyにもデータベース関連のオブジェクトクラスが定義されているため、yum install一発でSE-PostgreSQLが導入できるようになった。素晴らしい。

Fedora7向けのパッケージも当面は(Fedora9のリリースまでは)継続メンテナンスを行うが、Fedora7向けにはselinux-policyを入れ替えねばならないなど、面倒な事も多いので Fedora8への移行をお勧めします。

SELinux的に大きな変化としては、Strictポリシーが無くなっている。これは実際には unconfined モジュールを抜くことで、unconfined_tドメインが消滅し、Strict相当になるということ。
ということは、MLSポリシーに unconfined モジュールを突っ込めば、個人的には前々から欲しかった targeted-mls ポリシーとなるわけか。

あと、Fedora開発者メーリングリストでは、次のFedora9の開発に向けて「Smoothening SELinux Devel During F9 Cycle」と題した投稿がされており、開発者に対して SELinux の Enforcing モードでのテストを行って、よりスムーズにSELinuxに移行しようという呼びかけが行われている。素晴らしい。

RULE #1:
When new confines happen (or anything causing the default rules to be more restrictive), Dan will write up an e-mail summary describing the new restrictions and notify fedora-devel-announce. This is to set expectations and make it easier for people to test for breakage and submit reports to fine tune the selinux-policy. If we reach the final freeze and a confined application is still broken, we can consider unconfining it.

RULE #2:
During the freeze period when rel-eng reviews and allows/denies changes, Dan will write more explicit %changelog entries and poke rel-eng@ when he wants a build to be included. The %changelog entries should make it easier to test the changes and to make a determination whether we want to allow it in the release.

Grow Awareness
Additionally, we need to do more training/blog announcements/etc both to Red Hat engineers and Fedora developers to not be so afraid of SELinux. I know that I personally became a lot more comfortable with running with enforcing mode only after he sat down and showed me how easy it is to use audit2allow -M. We need to do more promotion of these VERY BASIC SKILLS and how to file a proper AVC bug report.

All developers need to be comfortable about running with enforcing mode, to help to fix the SELinux rules rather than live in denial.