lids-2.2.3rc2-2.6.22がソースベースではほぼ完成した。

今回の目玉は

LIDS_SOCKET_XXX機能の復活
LIDS_SOCKET_NF_MARK機能の復活

の二点なのだけれど、公開に向けて一つ問題が。

LIDS_SOCKET_NF_MARKを使う時には、netfilter側にMARK値を引き渡す必要があるため、
net/netfilter/xt_MARK.c
にパッチをあてる必要がある。
これをやってしまったら、LSMの枠内からはみ出した事になっちゃう気がする。
しかし、SELinuxでは
net/netfilter/xt_SECMARK.c
で「config_selinux_enabled()」
みたいな関数を平気で使っているので、あっちはハミ出しているじゃないかと思ったりもする。

SECMARKをうまく使ってMARK値を引き渡せれば良いんだけれど、やっぱりnetfilter側に
パッチをあてざるを得ないんだよねぇ。ただ、NF_MARKの機能は面白い物なので、
個人的には外したくは無いし。

OMO