基本部分

• systemd対応

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/SELinux_Users_and_Administrators_Guide/chap-Security-Enhanced_Linux-Systemd_Access_Control.html

systemdのstart,stopなどのパーミッションを新たに定義、チェックできるようにしている。

• ドメイン単位のpermissiveモード

ドメイン単位でpermissiveモードに変えられるようになった。
semanage permissive -a <ドメイン>

• fine name transition

https://access.redhat.com/blogs/766093/posts/1976273

動的に生成されるファイルのラベルをどうするかというもの。
デフォルトでは、ディレクトリと同じラベル。
これまでは、ディレクトリのラベルに応じて別のラベルを付与することができたが、
ファイル名に応じてラベルを付けられるようになったっぽい！
10年ぐらい前にほしかった機能だが、当時はパス名とラベルの論争でそれどころでなかったような記憶があるようなないような。

組込み系

だいぶ組込み系でSELinuxの適用が進んだ模様。

• YoctoのSELinux対応

http://git.yoctoproject.org/cgit/cgit.cgi/meta-selinux/
これがどこまで出来ているかが気になる！

• SE-Android

AndroidにSELinuxが入っている

FFRIさんのまとめ記事：
http://www.ffri.jp/assets/files/monthly_research/MR201408_SE%20for%20Android%20Overview_JPN.pdf

• 組込みディストリビューションでのSEEdit適用

私が休んでいる間に一体何があったのか気になる!!
https://knowledge.windriver.com/en-us/000_Products/000/010/000/040/020/000_Wind_River_Linux_Security_Profile_User's_Guide,_7.0/060/010

以上からなんとなく分かったこと

セキュリティポリシファイル内で、アプリ独自のパーミッションを定義、
アプリ側で、オブジェクトにセキュリティコンテキストを付与するように拡張、
そして、アプリ側で
↓のlibselinuxの関数を呼べば、パーミッションチェックができる
int security_compute_av(security_context_t scon,
security_context_t tcon,
security_class_t tclass,
access_vector_t requested, struct av_decision *avd)

security_compute_av(サブジェクトのセキュリティコンテキスト、アプリ内のオブジェクトのセキュリティコンテキスト、アプリ独自のオブジェクトクラス、アプリ独自のパーミッション、結果）
のように呼ぶ。
これで十分じゃんと思ったのだが、
security_compute_avは、直接セキュリティポリシをクエリすると思うので低速なはず

そこで出てくるのがuserspace avc？
カーネル内のSELinuxパーミッションチェックするときは、カーネルがAVCというキャッシュにアクセス制御結果をキャッシュしているため、カーネル内のSELinuxパーミッションチェックは高速。
このAVCをアプリ側で持とうというのがuserspace avcのようだ
avc_initとかいうlibselinux関数を使いuserspace avcを初期化、
avc_has_perms関数でパーミッションチェック。
avc_has_permsのパーミッションチェックではuserspace avcを見に行くので高速。