selinux runtime type transition

az megvan, hogyha van egy T tipusu processem, ami indit egy Q tipusu processt, akkor azt at tudom pakolni P -be, hogy ott fusson.
viszont mi a helyzet, ha azt szeretnem, hogy ha a T tipusu processem hozzafer valami Q tipusuhoz (olvas egy olyan fajlt), akkor is atpakolodjon Pbe?

plusz csokiert kerdes: hogy lehet veglegesen relabelezni azt a fajlt, amire adok hozzaferest valakinek (mondjuk P csinalhat barmit T tipussal, a fajl eredetileg Qban van), de ha mar csinal, akkor legyen egy Q->T relabeling automatikusan? (tehat azt akarom engedni, hogy az automatikus relabeling utan tudjon csak jatszani a fajllal)

( NagyZ v | 2011. 07. 18., h – 15:28 )

#selinuxos emberkek szerint az automatic transition nem fog menni, nem tamogatja a kernel, tovabba az elso otlet sem fog menni, mert
nem tudna eltakaritani a transition idopontjaig a process a memoriabol az osszes erzekeny infot (ill eltudna, de ehez at kene irni az alkalmazasokat, azt meg nem akarjuk).

elsore megoldas: legyen P az eredeti tipus, T az alacsonyabb szint. Pnek minden hozzaferest letiltunk T fele; tovabba adunk egy scriptet, amivel tudja restartolni Tben az eredeti alkalmazast. ha a relabelt engedjuk, es az admin at tudja a P -s konfigot T -be rakni, akkor utana mar mehet a moka. nem szep, de ez van.