himainuの日記

■[開発日誌][SELinux解析] 12:09

今日もアクセスベクタ解析。ソケット関連の解析がようやく終わった。

使われてないアクセスベクタ

• ソケット全般
  • ioctl, append, lock, relabelfrom, relabelto, recvfrom,setattr(前書いたのはsetattrが抜け）
• unix_stream_socket
  • newconn, acceptfrom
• tcp_socket
  • connectto, newconn, acceptfrom

ポート番号との間でチェックされるもの

• ソケット全般
  • name_bind, recv_msg, send_msg
• tcp_socket
  • name_connect

ノード（IPアドレス）との間でチェックされるもの

• node_bind

ドメイン間通信のチェックに使えるもの

• sendto(unix_dgram_socketのみ）
• connectto(unix_stream_socket)

結構使われてないものがあるなぁ。互換性のために残ってるだけという感じがする。

ドメイン間通信の制御はやっぱほとんどできないが，

ポート番号，NIC，IPアドレスを使った制御はかなりできそうな感じ。