ここでは攻撃に利用される恐れのあるシステムコールの利用に必要な権限をまとめており、ケイパビリティやシステムコールの利用を制限できます。
ファイルのセキュリティラベルを付け替える権限をまとめて許可します。すべてのファイルのサーチ権限も与えられてしまうことに注意が必要です。同時に「/selinux以下への情報へのアクセス」を許可する必要があります。
プロセスが書き込むことのできるファイルのラベル張替えを許可します。
/selinux以下の情報へアクセスする権限を与えます。SELinuxAPIを使ったアプリケーションが必要とすることがあります。
setenforceコマンドの利用を許可します。
セキュリティポリシーをカーネルに再読み込みする権限を与えます。
arp、routeテーブルの書き換え、プロミスキャスモードの利用などネットワーク周りの管理作業を許可します。
reboot()システムコールの使用を許可します。Linux CapabilitiesにおけるケイパビリティCAP_SYS_BOOTに相当します。
カーネルモジュールのインストール/アンインストールを許可します。Linux CapabilitiesにおけるケイパビリティCAP_SYS_MODULEに相当します。
ディスククォータをONにする権限を与えます。
swapon()システムコールの使用を許可します。
mount()システムコールの利用を許可します。
Linux CapabilitiesにおけるケイパビリティCAP_SYS_ROWIOに相当します。ioperm()やiopl()システムコールの利用を許可し ます。デバイスを直接たたく行為は、/dev/port経由で行うことも可能な為、/dev/portファイルに対してもアクセス制御をかけておく必要が あります。
ptrace()システムコールの利用を許可します。
chroot()システムコールの利用を許可します。
全ディレクトリに対するサーチ権限を与えます。
全ファイルに対する読み込み権限を与えます。
全ファイルに対する書き込み権限を与えます。
ラベル付け前のファイルの読み書きを許可します。
文字通りドメインに全ての権限を与えます。ドメインは,SELinuxのアクセス制御を受けなくなります。
「適用」ボタンをクリックすることにより、設定内容が単純化ポリシーファイルに反映されます。