Fedora Core 5でのSELinuxの機能や使い方を，これまでSELinuxを使ったことがない人に向けて分かりやすく解説する。今回は，リファレンス・ポリシーを操作するための「ポリシーのソース・ファイル」を解説する。

　本題に入る前に，2006年10月24日にリリースされたFedora Core 6に含まれるSELinuxの状況をごく簡単に報告する。Fedora Core 6と同5のSELinuxは，ほとんど同じである。機能的な違いは，本誌2006年11月号で紹介したSELinux関連のトラブル解決支援ソフトウエア「SELinux Trouble Shooting Tool」の実装程度であり，SELinux本体の機能は変わらない。本連載はFedora Core 5での使い方を紹介しており，その内容はFedora Core 6にも通用する。

　本題に入ろう。これまでポリシー・ファイルについては，バイナリ形式のものを扱ってきた。その基になっているのは，ポリシーのソース・ファイル（以下，ソース・ファイル）と呼ばれるテキスト形式のファイルだ。バイナリ形式のポリシー・ファイルでは，どのような設定がなされているのかを把握したり，大幅な修正を加えることはほとんど不可能である。

　そこで，ポリシーを本格的に操作するときは，バイナリ・ファイルではなく，そのソース・ファイルが対象になる。同時に，ソース・ファイルの構造を理解しておくことも重要である。今回は，ソース・ファイルの入門として，その構造を見ていこう。

ソース・ファイルをインストールする

　ポリシーのソース・ファイルを扱うには，システムに「rpm-build」および「gcc」のパッケージが必要だ。これらのパッケージをインストールしよう。

# yum install rpm-build gcc

　ポリシーのソース・ファイルは，RPMパッケージのベースとなるSRPMファイルに収録されている。今回の場合，「selinux-policy」という名前のSRPMファイルを入手する。

　最新版のSRPMファイルを，「http://fedora.redhat.com/Download/mirrors.html」でアクセスできるサイトの，updates/5/SRPMSディレクトリからダウンロードしよう。2006年11月上旬時点のファイル名は，「selinux-policy-2.3.7-2.fc5.src.rpm」だ。このSRPMファイルを次のようにインストールする。

# rpm -ivh selinux-policy-*.src.rpm

/usr/src/redhatディレクトリ以下に，ソース・ファイルを含んだ一連のファイル群がインストールされる。ここからソース・ファイルを取り出す手順を図1に示す。

図1●ソース・ファイルを取り出す手順 [画像のクリックで拡大表示]

ソース・ファイルの構成

　/etc/selinux/targeted/src/policy以下には，さまざまなファイルやディレクトリが格納されている（表1）。ここでは，図2に沿って，全体を概観しよう。

表1●policyディレクトリにある主なファイルとディレクトリ [画像のクリックで拡大表示]

図2●ソース・ファイルの構成 [画像のクリックで拡大表示]

　図2の（1）に示したポリシーのソース・ファイルの本体は，policy/modules以下に格納されている。このディレクトリには，「ソース・モジュール」という単位でファイル群が整理されて格納されている。

　この中には，strictポリシーや，targetedポリシー，ディストリビューション固有のポリシーといった，さまざまな用途のポリシーがまとめて記述されている。

　（2）makeコマンドを用いて，ソース・ファイルをバイナリ形式に変換する。変換する際のオプションをbuild.confやmodules.confなどに設定できる。この設定に基づいて，用途に応じたポリシーが抽出される。例えば，「targetedポリシーに変換」「Fedora Coreに対応したポリシーに変換」のようなことができる。

　（3）バイナリ形式のポリシーは，base.ppファイルである。設定によっては，一部を別のモジュール・パッケージ（ppファイル）として分離することも可能だ。