大きな変更は、以下の3点です。
・ポリシーエディタの使い勝手が向上
・ドメイン遷移をより詳細に制御する構文をサポート
・パス名のグループを用いたアクセス許可の指定をサポート
ポリシーエディタが大きく進化しました。カーネルは 1.3.1 を使い続ける予定でも 1.3.2 のポリシーエディタを使う価値があると思います。
1.3.1 では initializer と keep_domain 構文しかありませんでしたが、 1.3.2 ではそれらを必要に応じて打ち消すことができるようになりました。
例えばログイン後のドメインを keep_domain で遷移を抑制しながら、追加認証のためのプログラムを実行する時にだけ no_keep_domain で遷移を強制させることにより、追加認証や管理者権限の分割が行いやすくなりました。
initializer というキーワードは keep_domain というキーワードに合わせるために initialize_domain というキーワードに変更されました。また、 initialize_domain を打ち消すために no_initialize_domain キーワードが導入されました。なお、互換性のために initializer および no_initializer という指定でも認識します。
パス名のグループ化機能により、 SELinux で言うところの .fc ファイルみたいな使い方ができます。 SELinux では .fc ファイルにパス名とラベル名の対応を定義してからポリシーファイルにラベル名を用いてアクセス許可を与えます。 TOMOYO Linux でも、例外ポリシーでパス名とグループ名の対応を定義してから、ドメイン別ポリシーでグループ名を用いてアクセス許可を与えることができるようになりました。 TOMOYO Linux では1つのパス名に複数のグループ名が対応することを容認しているので SELinux のようにパス名に対するラベルの付け方についてドメイン間で調停する必要がありません。
何かが動き始めているようです・・・。
パス名のグループ化は便利ですね!
にしても、キーワードの変更って悩ましくないですか?
そのうち、全文法を整理したくなるという(汗
はい。ただし、ファイルシステムの拡張属性に保存する訳では無いので、使い方は似ていてもラベル付けとは動作は全く違います。 path_group は単なるマクロに過ぎません。
>にしても、キーワードの変更って悩ましくないですか?
initializer の方が良いという意見もありますしねぇ。