07/11/11 01:29:49 3j2E+wB/
なんか急に活発になったなぁ・・・
451:login:Penguin
07/11/11 14:05:33 Udbk7g11
Theo 氏は...なんてゆーかな。
人によってはつきあいにくいこともある? という感じ、なんですかね。
あの void 氏を、似た感じの人に挙げる人もいました。
ある種の意見は頑固に主張する人なので、その主張が入ったメールとかに、
ぶち当たると恐いという印象が先立つわけですが。
頑固さは例えば、人づてに聞いた話なんで確認してないんですが、
「OpenBSD の CVS のコミット権は俺が直接ツラを拝んだ奴にしか渡さねぇ」
だっけかな、そんなことを聞きました。
ともあれ、*BSD にも TOMOYO のような(or SELinux etc)権限管理の
メカニズムが開発されたら面白いとは思いますが、だれか「やったれ」と
発起する人待ち状態じゃないんですかね? 今は。
*BSD の人は、Unix の姿として Sun のそれを仰ぎ見る傾向があるように
思うわけですが、Sun ってこの手のメカニズム、用意してましたっけ?
(えー、この板では 3 行のレスを連投するぐらいなら 1 レスにまとめて
しまったほうがよいかと)
452:login:Penguin
07/11/11 14:09:14 Udbk7g11
そーいや KOF で OpenBSD のステージセッションありませんでした?
Theo 氏の紹介があったんではないかと思うのですが。
NetBSD のセッションではえびじゅんさんがいとぢゅんさんへの追悼を
述べられたということで...
453:デムパゆんゆん
07/11/11 15:17:03 6HumQh2x
でっていう
>>452
OpenBSDに土地勘アルならTOMOYOのコード読んで
移植がむばってみておくれまし
FreeBSDはデフォでも十分強固というふれ込みだがjailがあるでふぁないか
バニラカーネルにぶち込もうと努力してる人がいる中で
そういうこと言うのは失礼ではござらぬか
拙者は哀しいでござる ムー
454:login:Penguin
07/11/11 15:32:21 y6zQMGEP
>>453
横から失礼だけど、移植だとカーネルがGPLに汚染されちゃうので、
問題はそれだけだと思う。
455:デムパゆんゆん
07/11/11 15:46:24 6HumQh2x
>>454
移植の話が出るとライセンスのネタが
必ずと言っていいほど出てきまつね
>>452はBSDにTOMOYOタンの考え方を移植できればと言ってるような気がするが
linuxと*bsdぢゃカーネルの構造がそもそも全く違うアル
なんというか開発者本人がいない中でこういう話していいものかと思った15の夜
456:login:Penguin
07/11/11 15:50:12 kQqVzMFC
盗んだコードで走っりっだし~w
457:login:Penguin
07/11/11 16:00:55 y6zQMGEP
>>455
>linuxと*bsdぢゃカーネルの構造がそもそも全く違うアル
そうでもないと思うけど、やっぱBSDに持って行くのは別プロジェクトで
スクラッチから書いて、TOMOYOの定義ファイルを読めるってのが
良いのかな。
458:デムパゆんゆん
07/11/11 16:13:01 6HumQh2x
行き先もわからぬままいづこへ?
>>457
定義ファイルが共通化してるのはいいんぢゃないかとおもふ
BSDもカーネル本体がありモジュールでいろいろ読み込んでまつね
カーネルもモノシリックとかいろいろあったり
トーバルさんも当時教授がマンセーしてたMMXだっけ に反発して今のカーネル出したでつね
あぁ 余談でつw
そこまでつっこんだ話はMLに参加して開発者本人とバトルおながいしまつ
ミーはあくまでガリガリいぢってる1ユーザでつよん
459:login:Penguin
07/11/11 16:29:35 y6zQMGEP
>>458
やってることはフックなので、カーネル全体の構造に迷惑かけなければOKかと。
もちろん思ってた所で思ってるデーターが来ないなんかは有るかも知れないが。
460:login:Penguin
07/11/11 16:39:06 ORoU0otf
FessBSDにSELinux(FLASKアーキテクチャ)を移植というのは既に存在するにょ
URLリンク(selinux-symposium.org)
URLリンク(selinux-symposium.org)
461:デムパゆんゆん
07/11/11 16:42:52 6HumQh2x
>>459
カーネルの事もC言語の事もさっぱりわかりましぇん
linuxもフリBSD以前コードは眺めてニヤニヤした事はありまつ
linuxは2.4の頃でつ
javaで言うAOPみたいなもんだと個人的に認識しておりまつ
本体の上から被せるようなもん?
FreeBSDだとaltqやpfとか後からぶち込んでリビルドしたときに
バッテングしないのかとおもふ いあ思っただけでつ
というかこれ以上は僕もだめでつw
せんせ~におながいしまつw
462:login:Penguin
07/11/11 17:06:02 K8XGwy2X
TOMOYO Linux なんて誰も使ってないっつーの
463:デムパゆんゆん
07/11/11 18:58:19 6HumQh2x
潜行する前にネタひとつ
ようやくツルボインストロール完了
Xが起動できなかったり依存関係がア"ッーでつ
ちなみにハードは
MB asus p2b
HDD quantumの12G
メモリ384G
ビデオカード quadro4 700xgl
さっそくともよタン探しマスタ
どこにもいましぇん
rpm -qa | grep tomoyo or ccs find / ccsとかprofile.confとか みつかりましぇん
欲しがりません 勝つまでふぁ
/proc/ccs/以下と/lib/modules/2.6.23-2/kernel/fs/以下は
とりあえず見つかったものの
デフォでは入る/lib/ccs/ /etc/ccs/以下がみつかりましぇん
どなたか見つかった人いないでつか?泣
それでは潜行 ブクブクブクブク
464:デムパゆんゆん
07/11/11 19:03:04 6HumQh2x
ハード少し追加
HDD seagateの20G
PenIII 600 河童だったかニャ?
465:login:Penguin
07/11/11 19:45:50 OGSDxw0r
「ともよを使おうか?」
何て仕事で言ったら、萌えヲタかと思われるかもww
466:login:Penguin
07/11/11 20:23:43 KonjLyX6
>>463
URLリンク(usersforum.turbolinux.co.jp)
467:login:Penguin
07/11/11 20:41:04 KonjLyX6
>>448
断る。
もう、今後誰の意見も希望もきかないし、考慮しないことにした。
読みたくなったら読みにきて、書きたくなったら書く。
長文も連投も気にしない。
話しかけられていちいち返事をするのもやめた。
名前もトリップもつけない。
ちょっと2ちゃんねるっぽくしてみようかとw。
468:login:Penguin
07/11/11 20:43:01 UvPNZDKu
いやトリップはつけろよ。
469:login:Penguin
07/11/11 20:45:21 KonjLyX6
>>468
何故だ?
470:login:Penguin
07/11/11 21:50:57 JdG80dWW
本人かどうかの判別がつかなくなるから。
471:login:Penguin
07/11/11 21:54:53 Uok/zlXU
偽物がでて混乱するのは結構面倒。
472:デムパゆんゆん
07/11/11 21:58:25 6HumQh2x
>>466
あぁ ごめんあさい ごめんあさい
リンク先眺めてマスタが見てましぇんですた
ただ今もう短気なものでFedora8インストロール中でつw
ツルボとF8見た目カコイイ方にしますだ
おっちゃんねる 中の人降臨スレいろいろありまつです
ももんがlinuxスレもまろやかに降臨してまつ
あんまり力が入りすぎるとお腹によくないでつ
うんこが堅くなり脱腸がまってまつ 痛いでつよ?w
ともよタンの使い方いろいろ模索してたんでつが、
個人的にジャックの期待する鯖のガードに使おうかと思ったんでつが、
ここで聞き昨日聞いてやめマスタ うぶんつタンルータで使いまつ
掲示板でガリガリ書くよりも実際会ってみた方がいいなと思った15の夜
そういえば組み込みの話
なぜか主力のNetBSDの名前がでないのが不思議でつ
とりあえずカーネルでオナニーするOSな印象
ユーザランドはてめぇでなんとかしろみたいな所
ここ見てるBSD移植汁!!!さんはまた北の荒波に放り出されまつたね
しかしF8もツルボも見た目カコイイ どっちにしようかニャ
473:login:Penguin ◆XkB4aFXBWg
07/11/11 22:06:43 KonjLyX6
トリップつけると名前をつけるのと変わらないような気もするが、まあ仕方ないかな。(thanks)
自分もKOFのCDで導入してみたが、turbo+からパッケージのccs-toolsを入れると挙動がおかしいので
掲示板に書いておいた。事実関係が判明するまでは、パッケージではなく、
TOMOYOプロジェクトのドキュメントに従うほうが良いかも。
URLリンク(tomoyo.sourceforge.jp)
474:login:Penguin
07/11/11 22:12:14 UvPNZDKu
トリップが違うだろがw
475:login:Penguin
07/11/11 22:14:41 KonjLyX6
>>474
前のトリップ(の元データ)はさくっと忘れたためなりw
476:login:Penguin
07/11/11 22:29:36 UvPNZDKu
>>475
信用のない人間だなw
477:login:Penguin ◆XkB4aFXBWg
07/11/11 22:48:34 KonjLyX6
最近なんとなく傾向がわかってきたのだが、
信用する気もない人間が、信用のないと言うのがここのややこしいところだ。
でもこちらも信用して欲しくないから、結局ちょうど良い・・・。変なの。
頼むから信用しないでくれ。
478:デムパゆんゆん
07/11/11 22:56:36 6HumQh2x
せんせ~はいろんな意味で力が入りすぎでつ
女子高生の前で屁をこいてもきにしないずぼらな精神必要アルネ
Fedora8予想以上にバギーだなぁ yum update出来ねぇや・・・
予想外割引はキボンヌ
479:login:Penguin
07/11/11 22:58:00 hi6X3Te7
>>476が信用のない、信用できない人であるのはまあいいとして、だ。
セキュリティを語る側の人間である>>477が
信用の無い行為するのはどうなんだよw
480:中野一里 ◆j0Nai7ATsc
07/11/11 23:04:47 KonjLyX6
うるさいなぁ。(涙)
トリップとはここではそんなに大切なものなのか?
では何故皆つけていないか教えてくれないか?
名前もトリップもつけない匿名野郎に何を言われても何とも思わない自分がおかしいのか?
481:中野一里 ◆j0Nai7ATsc
07/11/11 23:06:01 KonjLyX6
>>479
どうだ。これで信用してくれたか?
482:中野一里 ◆j0Nai7ATsc
07/11/11 23:14:38 KonjLyX6
>>479
「信用」には「セキュリティを語る側の人間」は関係ないんじゃないかな。
だいたい「セキュリティを語る側」ってなんだろう?
自分が名前やトリップをつけているのは、「自分の発言に責任をとりたい」と
思うからで、それはスラドに初めて書いた時からずっと同じだ。
誰かに言われたからじゃない。自分には匿名で語ることは苦痛だ。
とか書くと、デムパ君に怒られちゃうかもしれないけれど。
あー、やっぱり自分はここには向かないかも。
483:login:Penguin
07/11/11 23:24:00 hi6X3Te7
>>482
「名前もトリップもつけない匿名野郎」ってのが大衆の正体だぜ
そいつらに布教しようっていうのなら ここほど練習に適した場所
ほかに無いだろ
484:login:Penguin ◆XkB4aFXBWg
07/11/11 23:35:04 KonjLyX6
>>483
「大衆の正体」は、そうだと思う。
「布教しようっていうのなら」は、ちょっと違うかな。
「布教」というよりは「会話をしよう」と思っただけなんだ。
語りかけられているのを意識して(気がついて)、知らないふりをしたくなかった。それが一番。
そして、次に「もし役に立つなら情報を提供しよう」と思った。
それが483の考える「布教」の定義ならそうだけど、自分の考える「布教」という言葉とは
ちょっと違う。
何度も言っているつもりだけど、ここや匿名を否定するつもりは
1ビットもない。それはそれで良いと思っている。
ただ、ここは「匿名」を外れた存在について、妙に反応して、邪魔をしてくる。
それが不思議だ。戦うつもりはないし、戦う理由もない。
きっと自分がいなくなれば、元に戻るだけだ。
485:login:Penguin
07/11/11 23:43:30 hi6X3Te7
>>484
個を維持して書き込むつもりなら特定してもらうための札は必要だろ
そうして初めて発言に重みが出来る(このスレ限定とはいえ)
重みの無い会話でいーならトリはずせばいいじゃん
ま、そんなのなくても後20分はID続くからいいけど
ところでTOMOYOってCD-ROM起動HDD無しのLinuxでも動くの?
486:デムパゆんゆん
07/11/11 23:49:29 6HumQh2x
自分の発言に責任をとりたい
そんな事は微塵も思ってましぇんw
拙者ほかのスレでもコテ使っておりまするが、ただの電波芸者でつ
発言でつか? 適当でつ 発言でスレが荒れたら? 僕はしりましぇん
僕はしにましぇん 適当なやつに押しつけ逃走
一つだけわかってた事
この支配からの卒業 せんせ~にも学習モードが必要
BSDに移植してみたいなぁとか言う人まで出てきて意外に盛況でつw
半年ほど前まではコテハン一人のメモ代わり日記でつた
もう そうはいきましぇんみたいでつねw
487:デムパゆんゆん
07/11/11 23:51:44 6HumQh2x
今日はなぜか尾崎スイッチが入った
年はもっと若いでつよ?精神年齢は15で止まってまつ はぃ
488:login:Penguin ◆XkB4aFXBWg
07/11/11 23:55:09 KonjLyX6
>>485
どう見えているかわからないけど、積極的に個を維持したり押し出す
つもりはないし、「重み」を出そうとは夢にも思っていない(泣)。
トリはたまたま言いがかりをつけられたので、返事をしただけのこと。
名前がなければ、名前で呼ばれない、トリがなければトリを話題に
されないと思っただけです。
CD-ROM起動HDDなしのLinuxってLiveCDのことですか?
それなら動きます。ここの板にも何度も書いてます。
489:login:Penguin ◆XkB4aFXBWg
07/11/12 00:05:44 TX07iZlA
>>486
「自分の発言に責任をとりたい」という文字を読むと大げさですね。(笑)
自分が関わっている仕事やプロジェクトの名前がでていて、知らない
ふりはしたくない、電車で前にお年寄りが立っていたら席を譲りたい、
そんな感じで、とらえてくれい。
「学習モード」はなんとなく言わんとするところはわかります。
でも、どうすれば良かったのかな?何か言われても黙っていれば良かったのだろうか。
なんで、ここでこんな話をしているのかな?>自分(やれやれ)
490:login:Penguin ◆XkB4aFXBWg
07/11/12 00:15:21 TX07iZlA
今までそれなりに多くのところで話をしたり、文章を書いたりしました。
それら全てには期限など制約があり、相手を想定して作成します。一方向です。
例えば、Software Designに苦労して連載を書いてもそれが伝わったかは
わからない。
ここには最初「返事をしよう」と思ってきたけれど、いつか
「直接対話をしたり、質問に答えられたら、説明ができたら」と
思い始めていました。それはサポートという意味ではひとつの
理想だと思います。でも、自分の進め方が悪かったのかもしれませんが、
あきらかに失敗しました。もし、不快な思い(うざいとか)をしたり
迷惑をかけていたら謝ります。
デムパ君が書いているように絶対に「直接対話」が一番良いのです。
KOFではネタ(資料)を用意せず50分をデモと質疑で使い切りました。
二人がかりで丸一日かけて、20人弱と話をするのは「布教」という
意味では効率が最低ですが、今後も可能な限り続けていきます。
ここは、お知らせ、情報提供だけにするか、もっと迷惑にならないような
方法があれば考えてみます。(長文すまん)
491:login:Penguin
07/11/12 00:20:47 AcsEhpWO
>>490
ブログでいいじゃん
ここにあんたが何かを書くと 宣伝乙 になるから
ここにあんた宛の質問が書かれたときに
ブログで返答を書いてやればいいよ
そのうえで「会話」したいやつはブログのコメ欄にでも
移動するだろ
492:デムパゆんゆん
07/11/12 00:22:04 86cmIrqM
ももんがlinux例に出したんでつけど、
他の中の人降臨スレ覗いてどんな感じか見てみたらどうでつか?
このをMLと同じように扱うのか 参考にしてMLに持ち帰るのかで
ずいぶん変わってくるのでふぁ。
前者ならほとんど例がないし新しいプロジェクト形態!!!とか銘打ったり むー
基本は何言われてもスルー
スレ見てると猛者もいそうなふいんきで、全部取り込むヨロシ
敵の敵は味方 名付けてイラクの自由作戦決行 ムムム
493:login:Penguin
07/11/12 00:22:56 AcsEhpWO
まあ別に本人が出張っちゃいけない法があるわけでもなし、
ここに書き続けても何も困らんけどな
電波をNGワードにしときゃいいだけだし
494:login:Penguin ◆XkB4aFXBWg
07/11/12 00:29:33 TX07iZlA
>>491
ここを見て、違うところで答える(対応する)は、降臨(笑)するずっと
前からやっていて、あとブログじゃないけど誰でも書けるWikiはあります。
その意味では実現済みです。正直、居心地悪いけど、現実的なのかも。
宣伝(乙?)がうざく見えるのならその意味でも。
しかし、「あんた宛」の質問は違う。別に自分宛には質問して欲しくありません。(笑)
495:login:Penguin ◆XkB4aFXBWg
07/11/12 00:32:41 TX07iZlA
>>493
そうそう。名前をつけるのはNGワードにしてもらうという意味があるのでした。
でも、これまでの流れを見ると、多分(絶対)NGワードに登録してもらいたい相手(発言を
うざいと感じる人)は、NGワードに登録してくれないんでしょうね。
その辺が理解できないところです。
496:login:Penguin
07/11/12 00:35:51 86cmIrqM
ひどいわひどいわ
>名前もトリップもつけない。
>ちょっと2ちゃんねるっぽくしてみようかとw。
それとは別にF8 yumのバグっぽいなぁ・・・
497:login:Penguin ◆XkB4aFXBWg
07/11/12 00:36:50 TX07iZlA
>>492
迷惑をかけていたり、邪魔になっているという感覚(自覚)があるという
意味で、それはしたくないかな。他の降臨スレは興味はあるけど、
自分の作業だけで、おなか一杯かも。
498:login:Penguin ◆XkB4aFXBWg
07/11/12 00:41:23 TX07iZlA
電車男を読んで、どうして電車の板は平和なのに、ここはこうなるのか
不思議に思っていました。でも良く見ると発言がかなりカットされているので、
いわゆる荒らしの部分が削除されるとああなるのかと。(違う?)
ここは元は過疎スレだったのですが、今日はなんだか妙にlogin:Penguinが
大量発生していますね。実はすごい疑問に思っていたのですが、板を
何人くらい見ているかってわかるのでしょうか?
499:login:Penguin
07/11/12 00:46:11 amJW53Ni
荒らしはかなりカットされてると思う。
実際、荒らしはほとんど意味がないし…
だから、基本荒らしはスルー。荒らしに反応するのも荒らしですとも言われることもあるくらいだし…。
500:login:Penguin
07/11/12 00:50:12 86cmIrqM
そんなに気張らなくても書きたい時に書き
読みたい時に読む それでイイと思います。
つか、ついさっき言ったじゃないですかw もう朝令暮改でつかw
元々linux板自体殺伐として荒れやすい希ガス これがデフォのような
マ板のようにゆんゆんしてるとあれはあれで楽しいでつ
501:login:Penguin
07/11/12 00:51:28 AcsEhpWO
>>498
それがひろゆきの求めてる理想状態だよ。まさに正常。ノイズもあるけど。
殺伐としてた方が、情報の濃度が濃いっていう話。
502:login:Penguin ◆XkB4aFXBWg
07/11/12 00:53:46 TX07iZlA
>>500
番号だけでなく、内容までうまくまとめていただきありがとうございました。
よくわからないことが多いだけに意見を聞いてしまうところがあるの
かもしれません(いけませんね)。おっしゃるように
できるだけ自分も他の人もゆんゆん(これも用語なのですね)できるように
心がけます→だからそうやって考えるのが堅い→あー、すみません。
なんだかよくわかりませんが、login:Penguinさんどうもありがとうございました。
503:login:Penguin ◆XkB4aFXBWg
07/11/12 00:58:24 TX07iZlA
>>501
「殺伐としてた方が、情報の濃度が濃い」 (゚A゚;)ゴクリ
そ、そうだったのか。す、すごい言葉だ。 _| ̄|○
でも、ぶっちゃけ、これで情報の濃度、濃いのかなあ。☆-ヽ(*´∀`)八(´∀`*)ノイエーイ
504:login:Penguin
07/11/12 01:02:33 AcsEhpWO
これから濃くしろ
505:login:Penguin ◆XkB4aFXBWg
07/11/12 01:04:02 TX07iZlA
おk
506:デムパゆんゆん
07/11/12 01:05:48 86cmIrqM
今でも十分濃い気がするお
さらに濃縮還元汁 120% ムー
507:login:Penguin ◆XkB4aFXBWg
07/11/12 01:10:12 TX07iZlA
情報を濃くするには、もっと殺伐としないといけない。
さらにゆんゆんしなければならない。ムー
ゆんゆんしながら殺伐するってのがなんだかわからないけど、
なんだかやる気出てきました。でふぁ
508:デムパゆんゆん
07/11/12 01:21:58 86cmIrqM
せんせ~の機嫌が直ったみたいでつ ムー
509:login:Penguin
07/11/12 01:22:55 Vw2ZGjx5
だからTOMOYO Linuxなんて誰も使ってないから
無駄なんだよwww
510:login:Penguin ◆XkB4aFXBWg
07/11/12 08:14:17 TX07iZlA
>>509
サポートは本来「人数が少ないからとか、無料だからやらなくてもいい」というものではないと思う。
ただ、やるべきこととやりたいことをやっているだけだ。結果を期待したり、
結果のためにやっているんじゃない。
511:login:Penguin
07/11/12 11:52:05 1S5gnySg
まぁ2ちゃんねるの特性として、固定ハンドルを見るや
つっかかりたがるおかしな人が湧いて荒れたりする、とかいう
のはありますね(というか既にそんな感じになりつつあるような)。
そういう手合いは、荒れるのを眺めるのが目的の変な人だったりしますから、
適宜放置するのがよろしいかと。
放置してる隙に、そういう人が自演(なりすまし)をやると手に負えないので、
トリップがあるというか。
あ、ひろゆき発言ってこれね。
URLリンク(www.asks.jp)
昔の(今もそうなのかな?)FreeBSD-users の
「自己紹介メールなんか投げるな」とか
「ありがとうございました」だけのメールはいらん、とかの
文化に近いものを僕は感じますが。
512:login:Penguin
07/11/12 13:02:06 2U/CxPbh
>>511
ひろゆきのその例えって変だなぁと思う。
dfが知りたいだけならそもそもネットで聞く必要なくて
マニュアル読めで充分。
システム管理者が存在しなくてファイルの容量がしりたいとなれば、
そこから広がる話が有ると思うんだよね。アカウンティング取ればとか、
余計な情報と取るか、目的は何と捉えるかとか。
はっきり言って、おいらぐらいになると、dfが知りたいって質問の方が
ゴミ。システム管理者不在で、なんとかサーバーを維持してるんだけど、
ディスクスペースが圧迫されて困っちゃう、と発言したくれた方が、
あぁ、これはニーズだと思うわけで、アカウント管理が弱いなぁとか、
逆にこれをサポートすれば(SIがやってるよね)お金になるなぁとか。
この辺どうなんだろうね、実際に解決したい問題がなんであるか
知りたいと思うんだよね。ひろゆきはその辺を知られたくない人なんで、
聞かれたことだけに答えて欲しい、つまり、世の中を自分の為に存在してる
物と捉えてるんだと思うんだけどね。
ちょっとそこは、違うんじゃないの、って思う。
513:login:Penguin
07/11/12 13:13:16 hjwAut19
>>512
この例でいうなら、「dfの使い方」を知りたいのではない
「HDDの容量を調べるにはdfを使う」ことを知りたいの
514:login:Penguin
07/11/12 13:21:28 hjwAut19
付け加えるなら
ゆくゆくは「ググレカス」のひとことで済ますための種まきをしよう
というのも狙いの一つだろね
515:login:Penguin
07/11/12 16:27:53 2U/CxPbh
>>513
だから、HDDの容量を調べるなんてどう考えてもマニュアル読むべき事で、
マニュアルを読めば載ってると言うことすら分からないレベルだと、本当に
HDDの容量を調べたいのかすら怪しいわけで、そこをインタビューするってのは、
答える方にも有る意味、フィールドの現状を知る良い機会だと思うんだよね。
情報量が少なくって良いとか言うけど、>>514みたいにググれカスと言うのは
中学生にも出来るんだけど、ググれカスと言って、ググった結果質問者が求めてる
答えにたどり着くのか?っていう部分は疑問でね。
そもそも、ググれカスと言ってる本人が何一つ分かってない場合も多いのが2chの
現状で、ひろゆきが意図したことは失敗してるわけで。
516:login:Penguin
07/11/12 18:08:44 amJW53Ni
あくまでも「例え」なのに深くつっこみすぎ。
それに、問題にしてるのは質問するほうでも答えるほうでもなく、第三者が見た情報量のことだし。
> ディスクスペースが圧迫されて困っちゃう
これもよくわからない。
例えは、ディスク容量知りたいけどリアルに聞く人も(マニュアルも)いないよ、って状況でしょ?
アカウントとか関係ないじゃん。
> はっきり言って、おいらぐらいになると、dfが知りたいって質問の方がゴミ。
こういうのがまさにいらないと言ってるのでは。
517:login:Penguin
07/11/12 22:48:28 86cmIrqM
おとといのKOFで気になったのはIBMのXシリーズ持ってる人多いでつね
うらやますぃ ちまちま貯めて買ってみたいのぅ
セッションの時berylが画面に出てマスタ
以前XGLで使う当てもなくクルクル動かし目が回ってやめた
あーゆー使い方もあるんでつね 参考になりマスタ
それはそうとともよタンは他のapacheやdhcp鯖みたいにログがでないのかと思った
SNMPとかでリモートから管理できないかとオモタ
なんと!!! SNMPでつなぐとHINEMOSで統合管理でき、
開発もEclipseでプラグインを導入するだけです
複雑なセキュリティーをトータルでサポートしまつとか出来ちゃいマスタ
とりあえずはシェルで組むしかないでつね
少ない脳内をDFしたらいっぱいですた
KOFで貰ってきたパンフレット見てニヤニヤしてまつ いろいろ新ネタが出てきた
iscsiとGFS2で少ない脳みその拡張をしてみまつよ
NRIのパンフレットはうけました サポートOSにRHELがないでつ
ぇどらとセントスでつかw 僕も負けないようにひねくれまつ
518:login:Penguin
07/11/13 02:11:39 Sg8l1Ftt
馴れ合い禁止だ、ゴルァ とか。
519:login:Penguin
07/11/14 20:04:04 RKG4YhdO
>>516
あぁ?わかってねぇーなーボケナス。
リアルに聞く人がいないのはしゃーないけど、マニュアル無いって事はないだろ。
マニュアルの調べ方すら分かってないだけの話じゃないのか?
その程度の人間が質問する事って、質問がそもそも間違ってる場合も大きいわけさ、
分かるか?で、その程度の人間が質問するってのは、ある種の問題を抱えてて、
それを解決したいってわけさ、分かるか?
殺伐とした雰囲気だと余計な情報が無くなるとか訳のわかんないこと言ってるけど、
問題解決の為の情報なんだから、殺伐としてたら、なんも進まないわけ。
520:デムパゆんゆん
07/11/14 21:20:13 GmghHWFX
まろゆき殿は殺伐は言葉の文でシンプルにしたいと、
言っておるような気がしまつ
写真がどうとか 管理者がいない事とかどうでもいい
聞きたい事だけ家!!! という事でせう
殺伐という緊張感がありつつもアル程度答えをもらえる所でもあるような気がしまつ
あまり答えを求め過ぎずにゆるゆるでもよかですかと
答えのない答えもまた社保庁案件でも出ていまつような
1社で引き受けたのが結局4社合同案件ですけ?
ここは1次SIの人もたくさん見ていそうなのでお叱りを受けそうでつね
それでふぁ そんなわけで まろゆき殿満成
521:login:Penguin
07/11/15 17:03:33 p5aeWzAw
ここ何のスレ?
522:login:Penguin
07/11/15 17:50:48 sxwI0BKR
TOMOYO Linuxとかいう誰も使ってないものを議論するための
キチガイ隔離スレ
523:login:Penguin
07/11/15 23:17:16 /hMYxxES
>>522
SELinuxよりは優遇されてるんじゃないか?
Redhatインストールマニュアルの朝はSELinuxの停止から始まる
524:login:Penguin
07/11/15 23:22:35 4Eb2fQHT
URLリンク(www.hd-animation.jp)
これのLiveCDがUbuntu 7.10ベースのTOMOYO Linux
525:login:Penguin ◆XkB4aFXBWg
07/11/17 19:17:32 Mxg8SLwr
>>121
長らく待たせてスマソ
URLリンク(lkml.org)
* Don't send access logs to auditing system.
TOMOYO Linux generates two types of logs.
One is access logs in the form of policy file.
The other is other messages like warning/info.
We were sending both logs to auditing system.
But some users complain about the flooding of access logs on the console.
Thus, we decided to stop sending access logs to auditing system
and removed AUDIT_TMY_GRANTED and AUDIT_TMY_REJECTED from include/linux/audit.h .
Now, we are sending access logs to /sys/kernel/security/tomoyo/ interface.
Logs other than access logs are sent to auditing system or printk() depending on kernel config.
526:login:Penguin ◆XkB4aFXBWg
07/11/17 19:26:36 Mxg8SLwr
ネットワークセキュリティExpert7にメインライン化関連の記事を書きました。
発売は多分来年1月かな。
527:login:Penguin ◆XkB4aFXBWg
07/11/17 19:30:11 Mxg8SLwr
>>524
URLリンク(tomoyo.sourceforge.jp)
と同じだけど、強制モードで起動します。
(Gnomeからの)壁紙の変更を拒否するポリシーが設定されています。
528:login:Penguin ◆XkB4aFXBWg
07/11/17 19:35:54 Mxg8SLwr
>>143
基本的には1.5に移行して欲しいのですが、事情により1.4を使わなければ
いけない人のために1.5.1に含まれていたバグフィックスの部分を
バックポートした1.4.3をリリースしました。
URLリンク(lists.sourceforge.jp)
529:login:Penguin
07/11/17 23:41:29 Y3kqKjkK
ふむ、2.1.0が出ているね。
mountに欠陥があるみたいだけど。
まあ…取りあえず1.x系統使っているから当方には関係はないけど。
そいや、中の人的には2系統と1系統、どっちを使って欲しいんだろうね。
530:login:Penguin ◆XkB4aFXBWg
07/11/18 08:34:07 IAOb6Rgb
>>529
そう。tomoyo-usersへのアナウンスを見て、外の人?には、1系と2系の違いがわかりにくいだろうなと
思いました。長文で(笑)説明します。
位置づけ的には、実際の利用を想定し安定化させようとしているのが1系で、
2系はメインライン提案版の「スナップショット」と考えてもらうと良いです。
2.0は、OLSに間に合わせられたのは良かったのですが、期間的な関係で
MACがファイルアクセスのみになったため、「アップアーマーとどこが違う?」
という印象をうえつけてしまう結果になり今もそれをひきずっています。
また、この板にも書き込みがあったようにオーディットに問題がありました。
2.1では、「現状のLSMでできる範囲」で1系の機能が取り込まれており、
1.5.2に比べてもあまり遜色なくなっていますし、オーディットも
ユーザが多様な使い方を選択できるようになっています。
「欠陥」については、因縁付きのvfsmountがらみです。熊猫氏によると、
「openSUSE 10.1 および 10.2 に搭載されている(ディストロにはいって
ユーザのついている)AppArmor」で、「マウント/アンマウントなどの操作要求と
その操作が行われるディレクトリ(マウントポイント)に対するファイルの作成/削除などの
操作要求が同時に発生した場合にデッドロックが発生する」ことが、
原理、および実験により確認されており、LKMLに問題提起しましたが、
Crispinや関係者からの返答はまだありません。この問題は、AppArmorの
提案中のvfsmountのパッチがあたっていれば解消しますが、まだ採用
されていません。TOMOYOの5回目のLKML提案では、違う方法でこれを
回避するパッチを添えて提案していますが、2.1ではそれは含まれていません。
2系は、標準カーネルを前提としているからです。(続く)
531:login:Penguin ◆XkB4aFXBWg
07/11/18 08:34:49 IAOb6Rgb
(続き)
2系の利点は、LSMを使っているので、カーネルに対する差分がほとんどないことで、
自分の使っているディストロに「移植」したり、コードを調べてみるという
観点からは便利です。特にそうしたニーズがない方は、プロジェクトとしての
安定版である1系を使ってもらえればと思います。
「カーネルの最新の議論に参加したい」という人は、
URLリンク(lkml.org)
で提案しているパッチをスレッドの議論とともに追ってもらうと良いでしょう。
こちらは前述のようにデッドロックに対してAppArmorとは違う手法での解決を提案しています。
ちなみに
URLリンク(tomoyo.sourceforge.jp)
を見てもらえばわかりますが、LSM版と非LSM版の両方を提案しているのは
TOMOYOだけです(2.4も使えますし)。LSMは確かに便利ではありますが、
TOMOYO的には必須ではなく「メインライン提案の条件」ですし、LSMの
現状の機能により「MACの制限」と見えています。
532:login:Penguin ◆XkB4aFXBWg
07/11/18 08:40:45 IAOb6Rgb
URLリンク(tomoyo.sourceforge.jp)
で、昨夜時点の最新安定版カーネルに対する2.1 (LSM), 1.5.2 (2.6/2.4 kernel)の
コードが読めます。LKML提案版は、LKMLスレッドのほうで。
533:login:Penguin
07/11/18 18:32:27 yHlFqZfV
TOMOYO Linux(笑)。 SELinux使えよwww
534:login:Penguin ◆XkB4aFXBWg
07/11/18 18:57:07 IAOb6Rgb
>>533
SELinuxは時間ができたら、趣味で(個人で)使ってみたいと思ってる。
Smackがメインラインに入ったら、SELinuxがどうなるかちょっと心配だ。
535:login:Penguin
07/11/18 19:17:35 y9fKSkF0
>>530
ふむふむ。
取りあえずしばらくは1系統を使っていきますです。
>>533
TOMOYO Linuxが商用利用前提のサーバで使えるかどうかの議論はさておき、個人用途で楽に使いたいならTOMOYO Linuxを選択しますなぁ。
ポリシ生成もAppArmor以上に楽だし。
趣味で使う分には楽な方法を選択したいのです。
536:login:Penguin ◆XkB4aFXBWg
07/11/18 19:30:37 IAOb6Rgb
>>535
「利用する」ということであれば、それがお勧めです。
AppArmorは、プロファイルという形でApacheなどいくつかのプログラムの
ポリシーを配布しています。「システム全体」、あるいは「ブートから
シャットダウンまで」という使い方は基本的にできません。また、TOMOYOの
ドメインやポリシーの粒度を見たあとで、AppArmorのプロファイルを見ると
物足りなくなるかもしれません。
いずれにせよ、興味を持ったものを試してみることが重要だと思います。
聞いたり読んだりするのと使うのは全然違います。どこに使うかを
含めて使った上で判断したら良いと思います。
自分の場合は、趣味で使うなら難しいほうが、仕事で使うなら楽なほうが良いです。
ここには「SELinuxを使わせたい人」が多いようですが(笑)。
537:login:Penguin
07/11/18 20:22:55 2kXMkvh1
学習ってどうやってるの?
何をどのくらいどう学習させるのか
解説してるサイトある?
538:login:Penguin ◆XkB4aFXBWg
07/11/18 21:18:53 IAOb6Rgb
>>537
とりあえずこんなところでいかが?
URLリンク(tomoyo.sourceforge.jp)
URLリンク(www.thinkit.co.jp)
URLリンク(sourceforge.jp)
できれば、Software Designが読めるとベストです。
539:login:Penguin ◆XkB4aFXBWg
07/11/18 21:22:55 IAOb6Rgb
>>537
「どうやってるの?」とは動作原理や仕組みのことですか?
それであれば、
URLリンク(www.jnsa.org)
URLリンク(www.jnsa.org)
540:login:Penguin
07/11/18 22:06:08 9NVM7Gsj
software designをtomoyoの週をすべて揃えると1万以上。
ドキュメントは点在。
一冊本をだしてもらえれば、ありがたい。
541:login:Penguin ◆XkB4aFXBWg
07/11/18 22:52:02 IAOb6Rgb
>>540
ご意見ありがとうございます。リソースや相手の問題もありますが、検討します。
542:login:Penguin
07/11/19 02:00:33 b6sAPSDU
誰も使ってないからやるだけ無駄
543:login:Penguin ◆XkB4aFXBWg
07/11/19 06:36:39 +asZX8Wu
>>540
新たに書くと内容は新しくなるのは良いですが、利用してもらえるように
なるまでに時間がかかりすぎるので、まずは
・技評さんに連載のムック化が可能か相談する
・技評さんに連載記事のweb掲載が可能か相談する
の線であたってみます。
>>542
心配してくれてありがとう。"(ノ_・、)"
544:login:Penguin
07/11/19 07:24:41 D0ekNzfK
>>543
荒らしたいだけなんだからもう放っとけよ
545:login:Penguin
07/11/19 12:15:43 KcGx0r9/
>>543
2番目の線でもありがたいです。
546:デムパゆんゆん
07/11/19 21:13:38 iuwDfR2g
>>543
相方のガチャピンも一緒におながいしまつ
547:仮面ライダー緑
07/11/19 22:59:32 fdaRO1ty
>>543
ムック化の際はきちんと現状にあわせてバージョンアップしてください
Linuxがらみの書籍はいつもいつもいつもいつも情報が古いので
せめて刊行直後くらいは「執筆時の最新」にしてください
548:login:Penguin ◆XkB4aFXBWg
07/11/19 23:37:27 +asZX8Wu
なんだかキャラクターが増えてますね・・・。
今日、技評さんに相談したところ、「テキストのみで出典を明確にして、
ある程度時間をおけば」ということで、連載内容の再掲を許可いただけました。
仮面ライダー緑さんが書いているように内容が古くなっているので、
アップデートしながらwebかwikiにアップしようと思っています。
549:デムパゆんゆん
07/11/19 23:45:35 iuwDfR2g
>>547
1執筆者にそりゃ無理な要求だw
業界大手で牛耳られいろいろ制約アルみたいだ
版元独自ルートアルの日経とあともう一つどこだっけ 忘れた
550:login:Penguin ◆XkB4aFXBWg
07/11/20 00:08:16 fRb2xm4v
>>549
載せれば良いということではないので、載せる以上やっぱり、
新しくするのは必要だと思います(思ってました)。それは、
他のメンバーも一緒です。その意味ではムックより良かったです。
(とここまで書いてガチャピンの意味がわかりました)
551:login:Penguin
07/11/20 01:08:51 XPQCBCxh
がちゃぴん化光速で1000冊注文する
552:デムパゆんゆん
07/11/20 01:15:28 +uBRTRns
>>550
執筆のネタヲレがいつもいるスレで以前ネタになってマツダ
講談社や書店との間に専門商社が入り
大手はトーハンとかが業界を牛耳ってて、思うように出版できないというのがあったにょ
>「テキストのみで出典を明確にして、ある程度時間をおけば」
技評の中の人はその辺りの事匂わせてるような気がしまつ
ぎりぎり最新にしてあとは最新URL貼り付け汁 な気がす
遠い記憶なのであんまり当てにしないでクレヨン
ちなみにせんせ~のブログハケーンしますた
24シーズン6見るためにカリフォルニア行ったんでつねw
通勤の時 ヘッドフォンしてるみたいでつね
いいものを使ってても難聴 or 聾になりやすいでつ
難聴になると自律神経失調症やメニエルになりやすいというか一回はなりまつ
メリー苦しみまつw と、生まれた時から難聴の自分が言いまつでつ でふぁ寝る
553:login:Penguin
07/11/20 02:48:47 CE3aj5Wo
TOMOYOってインストール自体は流れ作業でできるから導入までは纏めサイトのような備忘録作ってもあんまり有り難味ないんだよな…。
利用するにしても単純な利用方法(例えば「Webサーバにルールを適用させる」「mountの制御したい」)だけなら…
・学習モード状態で行いたい事をざっと行う
・ある程度生成されたポリシを元にルールを整形していく
これだけなんだよね。
勿論この単純さがTOMOYOの良さだとは思う。
ただそれ故か、見渡せば公式サイト以外にほとんどTOMOYOの情報が無いのは微妙に寂しかったりする。
公式サイトにしても基本的な利用方法があるだけだし(それが一番重要ではあるけど(^^;;)
紙ベースにしろ、Webベースにしろ、ある程度特異な使用例が欲しい。
SD連載にあった権限分割とかsshログインの小技とかは結構面白かった。
554:login:Penguin ◆XkB4aFXBWg
07/11/20 06:22:55 fRb2xm4v
>>552
UNIX magazineの記事を書いたアスキーさんもこのあたりの考え方は
同じでした。webだとリンクがあるし、コピペできるから読者には便利ですね。
ヘッドフォンは体調とそのときの仕事と気分次第です。
AKGのノイズキャンセルヘッドフォンを使ってましたが、おおげさなので
最近は普通のインナーイアです。使いすぎ注意します。
24はシーズン6を見始めました。ジャックの無茶ぶりがすてきです。
555:login:Penguin ◆XkB4aFXBWg
07/11/20 06:30:30 fRb2xm4v
>>553
>・学習モード状態で行いたい事をざっと行う
>・ある程度生成されたポリシを元にルールを整形していく
そう。そのとおりです。
入り口までくるのには何の苦労もいりません。
ただ、その先の道は、実は結構奥深いものがあります。その奥深さが
わかる人にとって、SDの記事は役に立ちます。SELinuxは、使い始めは
難しいですが、それを乗り越えたらあとは単調ではないかと思います。
一般の利用者の情報が少ないのは、奥深い世界に入っている人が
少ないせいかもしれません。そうした使い方でも良いし役に立ちますが、
TOMOYOの真価はそれだけではありません。
小技の記事は、熊猫さんが入れ込んで書いていたのできっと喜びます。
556:login:Penguin ◆XkB4aFXBWg
07/11/20 07:35:33 fRb2xm4v
SD連載がオリジナルだとわかるようにこんな名前にしました。
URLリンク(tomoyo.sourceforge.jp)
557:login:Penguin
07/11/20 19:24:23 SGcfNg7S
>>556 乙です。
いいぞいいぞ、これからが楽しみです。
558:login:Penguin ◆XkB4aFXBWg
07/11/20 22:37:35 fRb2xm4v
>>557
実際にやってみると思っていたより大変でしたが、少しずつ進めていきますね。
559:login:Penguin ◆XkB4aFXBWg
07/11/20 22:48:31 fRb2xm4v
LKML関係で今日ちょっと良いニュースがあります。
version 2.1は現行のLSMに合わせています。そのため実現できる機能は
LSMの仕様により制限されます。制約となるわけです。
制限のひとつが、ネットワークのMACで、受信系のフックが使えません。
これについて、熊猫さんが今まで何度も提案してはリジェクトされていましたが、
5回目の提案から続くスレッドの議論でなんとなく採用されるかもしれなくなってきました。
SELnuxのJames君がこんなことを言っています。
URLリンク(lkml.org)
560:login:Penguin ◆XkB4aFXBWg
07/11/20 22:54:36 fRb2xm4v
新たにメインラインに提案しようとするセキュリティ強化はLSMに
合わせるしかないわけですが、LSMは必ずしも共通的に必要とされる機能が
検討、実装されているわけではなくて、SELinux用っぽくなっています。
そうするとSELinuxと違うアプローチや方式は非情にやりにくく、さらに
LSMのメンテナや関係者がSELinuxよりだと限りなく不利です。
SELinuxより前によく考えられたLSMがあって、中立的に運用されていたら
多少事情は違ったと思いますが、LKMLの議論のすれ違いを見ていると
「これは合意は成立しないよな」と私は思ってしまいます。
561:login:Penguin ◆XkB4aFXBWg
07/11/20 23:11:36 fRb2xm4v
SDの1回目ですが、CentOS 4.5+TOMOYO 1.5.2にしてみました。
ただ、図については家では作業できないので明日以降少しずつ追加します。
562:login:Penguin
07/11/21 12:36:27 QNHC4DX/
TOMOYOのセキュリティーって、どこかのお炭が付いてるのかな。
563:login:Penguin
07/11/21 20:22:59 HXViqftq
使い物にならないというのが現在の評価です。
564:login:Penguin
07/11/21 22:09:22 PP61eWSP
TOMOYOは学習がメインということは穴が多いということに直結するからな
とはいってもSELinuxも蟻の一穴で瓦解するから大差ないけどな
565:login:Penguin
07/11/21 22:49:07 QNHC4DX/
TOMOYOの導入事例って、まだ無いの?
566:login:Penguin ◆XkB4aFXBWg
07/11/21 22:51:11 Eeqa5ppP
>>565
tomoyo 商用システム 導入事例
567:login:Penguin ◆XkB4aFXBWg
07/11/21 22:57:57 Eeqa5ppP
>>565
セキュアOSの導入状況について、NISCが調査報告書を公開しています。
URLリンク(www.nisc.go.jp)
「電子政府で利用する情報システムへのセキュリティ機能を強化したOSの適用可能性等に関する調査研究」
568:login:Penguin ◆XkB4aFXBWg
07/11/21 23:18:17 Eeqa5ppP
>>562
CC認証のことを言っている?それなら
URLリンク(www.ipa.go.jp)
を見れば。
569:login:Penguin
07/11/21 23:20:55 PP61eWSP
ニコニコが急に見れなくなった。
これもやっぱりTOMOYOのせいなのか
570:login:Penguin ◆XkB4aFXBWg
07/11/21 23:49:12 Eeqa5ppP
>>564
> TOMOYOは学習がメインということは穴が多いということに直結するからな
> とはいってもSELinuxも蟻の一穴で瓦解するから大差ないけどな
学習はポリシーの初期値作りのためであって、穴のないポリシーに到達する近道では
あるけど、学習結果をそのまま使うようなことはしてはいけません。
「穴のない」は、セキュアOSの種類によらず目指すゴールですが、SELinuxの
場合は、ポリシーの正しさの他に「ラベルの正しさ」を実現しなければ
ならないのと、ポリシー自体の可読性が低いという点が、TOMOYOに比べると
難しいと思います。
571:login:Penguin ◆XkB4aFXBWg
07/11/21 23:54:10 Eeqa5ppP
>>562
CC認証はセキュアOS選びの重要な基準なので下記の表に項目を追加しました。thanks
URLリンク(tomoyo.sourceforge.jp)
572:login:Penguin ◆XkB4aFXBWg
07/11/22 00:02:23 Eeqa5ppP
URLリンク(www.ipsj.or.jp)
573:login:Penguin
07/11/22 02:56:43 IG8xLyiw
はやくここに戻りたい・・・
1月までまっててね。
574:login:Penguin ◆XkB4aFXBWg
07/11/22 06:40:59 T42GwYyM
>>573
1月でも2月でも板がある限り待ってる。
575:login:Penguin ◆XkB4aFXBWg
07/11/22 06:50:27 T42GwYyM
がんばれ。
576:login:Penguin ◆XkB4aFXBWg
07/11/22 07:00:07 T42GwYyM
認証の意義や価値を否定はしない。
だけど肩書きや「お墨付き」を当てにする生き方はむなしい。
現にそうしたものを信用できないというできごとが増えている。
PacSecの講演タイトルは、
A Practical Method to Understand and Protect Your Own Linux Box
「自分の管理するLinux Boxなら、ちゃんと自分で把握して守れよ」
「そうでなくて誰が守る?おまえの箱だろ?」
そういう意味を込めている。"Practical"は、「実際に使える」ということだ。
タイトルを考えるのに約1ヶ月かけた。
577:login:Penguin ◆XkB4aFXBWg
07/11/22 07:06:38 T42GwYyM
"Understand and Protect"というのは、「内容を理解(把握)できずには
守れない」からこうなっている。reference policyでも良いけれど、
それなら、ちゃんと中身を読むべきだ。
資料ではTOMOYOをDIYアプローチと書いた。「自分で理解して守る」、
そう考える人にとってTOMOYOは最高のツールであり武器だ。そう信じている。
自分の考えやTOMOYOを押しつけるつもりはさらさらない。
良いと思ったら使えば良いと思っている。ひとりごとだよ。
578:login:Penguin ◆XkB4aFXBWg
07/11/22 07:26:18 T42GwYyM
URLリンク(d.hatena.ne.jp)
579:login:Penguin
07/11/22 12:30:19 IG8xLyiw
セキュアOSよりもセキュア環境が欲しいかな
580:login:Penguin
07/11/22 15:56:23 7hbiBwAR
「自分が何をしたいのか」と「相手に何をさせたくないのか」をある程度明確にできないと結局どのセキュアOS使おうが穴だらけになる可能性は高いよね。
TOMOYO LinuxにしてもSE Linuxにしてもその他のセキュアOSにしても結局行おうとしていることに対しての手段でしかないんだし。
581:login:Penguin ◆XkB4aFXBWg
07/11/22 23:01:24 T42GwYyM
>>580
本当にそうですね。
「セキュアOS」「セキュリティ」、そう呼ぶと難しいですが、
もともとやりたいことは、単純で誰にでもわかる、誰にも必要なことなわけです。
以前も書いたかもしれませんが、私は最近あまり「セキュリティ」「セキュアOS」という
言葉を使いたくないと思っています。
582:login:Penguin ◆XkB4aFXBWg
07/11/22 23:07:41 T42GwYyM
SELinuxのmlで大変興味深いスレッドを発見しました。
「SELinux的世界」を体験できます。超お勧めです。先頭記事はこちら。
URLリンク(www.selinux.gr.jp)
583:login:Penguin ◆XkB4aFXBWg
07/11/22 23:11:39 T42GwYyM
この「SELinux的世界」を楽しいと思う人はきっとSELinuxに向いています。
私はパズルとしては面白いと思いますが、仕事で使う勇気はちょっとありません。
reference policyが落ち着いたら、状況は変わると思いますけれども。
584:login:Penguin ◆XkB4aFXBWg
07/11/22 23:35:59 T42GwYyM
このスレッドの面白さを理解するためのヒントは、SELinuxとTOMOYO Linuxに
おけるドメインの考え方の違いにあります。参考資料としては
URLリンク(lc.linux.or.jp)
585:login:Penguin ◆XkB4aFXBWg
07/11/23 00:29:54 ikI5IeJ7
2.1のネットワーク関係でバグが見つかったので、少し前に2.1.1をリリースしました。
もし使っている人があれば更新ください。
586:login:Penguin ◆XkB4aFXBWg
07/11/23 00:36:29 ikI5IeJ7
ネットワークセキュリティExpert 7の発売は12/8のようです。
TOMOYO Linuxプロジェクトで9ページの記事を書きました。
内容は現在挑戦中のメインライン化で、プロジェクトメンバー3人で
分担して書いていますが、結構面白いものになりました。
日経LinuxでもCELFの方がメインライン化について書かれたようで、
そちらの内容も楽しみにしています。
587:login:Penguin ◆XkB4aFXBWg
07/11/23 00:51:01 ikI5IeJ7
>>584
ちょっとだけヒント。
URLリンク(takabsd.jp)
あとで簡単に説明します。でふぁ
588:login:Penguin ◆XkB4aFXBWg
07/11/24 09:58:57 jgoLKUrq
PacSecの準備を始めたのでちょっと忙しくなりました。しばらくレスポンスが
悪くなるかもしれません。解説します。
SELinuxでは、アクセスの主体(サブジェクト)とアクセスの対象(オブジェクト)の
ラベルにより、アクセスを許可して良いかどうか判断しますが、
サブジェクトもオブジェクトもラベルは「ひとつ」しか付与できません。
/bin/shでもApacheでも、特定の用途だけについてポリシーを書くことは
可能ですが、Linuxではさまざまなものが互いに関わりながら動いていますから
それらをうまく「調停」するようなラベル付けを工夫しなければなりません。
「調停」のわかりやすい例は、/homeのラベルとApacheのラベルで、それが
あっていないとApacheでユーザのホーム配下が開けなくなります(実際、
よくそうしたクレームがあがっていました)
/bin/shには、(最新の状況は確認していませんが)shell_exec_tというラベルがつけられていて、
それに基づいて他のラベルやドメイン遷移は定義(設計)されていますから、
勝手に/bin/shのラベル定義を他のラベルに変更するとたちまち色々なものが動かなくなります。
そのことが理解できると、「reference policyであってもtargetedであっても
提供されているポリシーの内容を理解しないと、本当の意味でのカスタマイズは
できない」という意味がわかると思います。(続く)
589:login:Penguin ◆XkB4aFXBWg
07/11/24 10:05:09 jgoLKUrq
簡単に言えば、「普通の/bin/shとApacheでPHPから実行されるsystem()で
起こされる/bin/shを許可したい」のですが、SELinuxの仕様というか制約の中で
それを実現しようとすると、スレッドにあるように普通の方法ではできないと
いうことです。つまり、「実行して良い場合」と「実行させてはいけない場合」の
記述が容易でないのです。
この同じことはTOMOYO Linuxであれば一瞬でできます。
学習させて、そのドメインを選択し許可すれば良いのです。
TOMOYOではもともとそうした状況に沿ってドメインを自動的に定義(分離)
しているから、ドメインの定義やドメイン名の付与すら必要でなく、
ただ、その場合(ドメイン)を選んでモードを変えてやれば良いだけです。
この例に限らず、TOMOYO Linuxのポリシーは「人間のシステム管理者に
とって、自然でわかりやすい記述」になっています。だから使いやすいのです。
より詳しく知りたい方は下記論文も参考にしてください。
(論文を読むまでもないかもしれませんが)
URLリンク(lc.linux.or.jp)
590:login:Penguin ◆XkB4aFXBWg
07/11/24 10:08:48 jgoLKUrq
このスレッドでもうひとつ参考にして欲しいのは、
「SELinuxを運用する」作業の実際のイメージです。
Fujiwaraさん達が連発している_tが「ラベル」です。ラベル方式の
MACを使うということはこのようにラベルで考えることが必要です。
・ラベル定義を設計する
・ラベル定義の設計に基づきアクセスポリシーを設計する
となります。ただ、前述のようにラベル定義は自由に行うわけには
いかず制約があります。reference policyでは、カスタマイズする部分を
ユーザがモジュールとして作りやすいようになっていますが、
ラベルの調停の必要性については本質的に変わっていません。
591:login:Penguin ◆XkB4aFXBWg
07/11/24 10:12:21 jgoLKUrq
SD連載ですが、全12回をひとつのページにすると巨大すぎるので分割することに
しました。現時点で第1回はほぼ完了、第2回は書きかけ、第3回は本文はほぼ完、です。
第3回についてはtomoyo-devのクスノさんにご協力いただいています。
インデックスは、
URLリンク(tomoyo.sourceforge.jp)
はてなのキーワードの中からも飛べるようにしておきました
(できるだけ多くの方に読んでいただけるように)
URLリンク(d.hatena.ne.jp)
技評さんには「発売後3ヶ月おきます」と約束したので、9月号まで
できるだけ早く転載したいと思います。もし、作業を手伝っていただける
方があればご連絡ください。
592:login:Penguin ◆XkB4aFXBWg
07/11/24 10:18:03 jgoLKUrq
今朝、PacSecのアブストラクトが掲載されましたので、貼っておきます。
英語版から(アブストラクトも講演資料も英語と日本語作成しないといけないので
大変です)
TOMOYO Linux: A Practical Method to Understand and Protect Your Own Linux Box
Abstract
TOMOYO Linux is an implementation of "manageable and understandable"
mandatory access control for Linux 2.4/2.6 kernels. It was developed
by NTT DATA CORPORATION, Japan and it has been available under
the GPL license since Nov. 2005. The project is now trying to put
their code to the mainline Linux kernel.
With its unique feature of "automatic policy generation", TOMOYO
Linux can be used to analyze the system behavior in depth as well
as protecting from malicious attacks. The presentation will focus
on how TOMOYO Linux compares to other secure-Linux projects in order
to give audience appropriate information to choose suitable one.
The on-line version of "secure-Linux" comparison table maintained
by the speaker can be found at here.
This presentation will include a brief demonstrations of TOMOYO Linux.
593:login:Penguin ◆XkB4aFXBWg
07/11/24 10:19:17 jgoLKUrq
TOMOYO Linux: あなたのLinuxサーバを理解し守るための実践的な手法
Abstract
TOMOYO LinuxはLinux kernel 2.4/2.6のための「使いこなせて安全」な
強制アクセス制御の実装で、株式会社NTTデータにより開発され2005年
11月からGPLライセンスのオープンソースとして公開されています。
プロジェクトでは現在メインライン活動に取り組んでいます。
URLリンク(tomoyo.sourceforge.jp)
TOMOYO Linuxはそのユニークなポリシー自動学習機能により、
クラッキング対策としてだけでなく、システムの解析に用いることも
可能です。講演では、参加者の方々が自分にあったセキュアLinuxを
選ぶことができるようになるために必要な比較情報が提供されます。
比較情報は
URLリンク(tomoyo.sourceforge.jp)
でその最新版を参照することができます。講演では、TOMOYO Linuxに
関する短いデモが含まれる予定です。
資料は現在作成中ですが、今回のSELinuxのスレッドも盛り込みたいと
思っています。
594:login:Penguin ◆XkB4aFXBWg
07/11/24 15:58:10 jgoLKUrq
ネットワークセキュリティExpert 7の発売日は12月8日ではなくて10日でした。
失礼しました。
595:login:Penguin ◆XkB4aFXBWg
07/11/25 07:39:46 5c7oH0Sf
Ubuntu Japanese Teamの方から、TOMOYOのapt lineを教えてもらいました。
Experimental
URLリンク(archive.ubuntulinux.jp)
に追加されています。/etc/apt/sources.lstに下記を追加すれば
利用できるようになります。
deb URLリンク(archive.ubuntulinux.jp) gutsy-experimental/
deb-src URLリンク(archive.ubuntulinux.jp) gutsy-experimental/
thanks >Ubuntu Japanese Team :)
596:login:Penguin ◆XkB4aFXBWg
07/11/25 07:55:11 5c7oH0Sf
日本語ローカライズドDesktop CD(ISOイメージ)のダウンロード自体はこちら。
URLリンク(www.ubuntulinux.jp)
Ubuntu 7.10でのTOMOYO Linux利用は、
・Ubuntu 7.10(標準)でexperimentalのパッケージを追加する
・Ubuntu 7.10で、自分でカーネルをビルドする
・TOMOYOプロジェクトのLiveCDから「インストール」する
(勿論インストールしないでLiveCDとしての利用も可)
の3つの方法が可能になりました。
今さらですが、7.10でのTOMOYOのパッケージ(deb)がないことに気がつきました。
597:login:Penguin
07/11/25 16:44:23 325QUF8p
Gentoo に TOMOYO 2.1.1 をいれてみた。
まだ、よく使ってないけどいくつか思ったことを。
- ccs-tools に LICENCE も INSTALL もなくて不便 & README がなんかいまいち。
- パッチがカーネルのどのバージョン用のものかがわからなかった。
- ccs-tools と ccs-patch で少し混乱。
- コンソールで作業したから、英語Wiki を見てたんだけど、内容が少し古いことを書いてほしかった。
.init がねぇ…とずっと探してしまった…。
- で、適当にccs-init を動かしちゃったんだけど… /etc/ccs は消してもOKなのかなぁ?
今度 ebuild でも作ってみようかな…。
598:login:Penguin ◆XkB4aFXBWg
07/11/25 19:59:55 5c7oH0Sf
>>597
情報ありがとうございます。開発メンバーに伝えておきます。
/etc/ccsは消してもOKです。
599:login:Penguin
07/11/26 02:57:52 fkMxnajX
>>598
/etc/ccs 消しました。Wiki も情報が新旧混ざってますねぇ。
ところでせんせー質問いいですか!
apache の動作を制約してみようかと、editpolicy で apache の学習結果とにらめっこしてます。
- allow_create /var/tmp/etilqs_<ランダムな文字列> というエントリがたくさんあるんですが、
まとめるには、A して allow_create /var/tmp/etilqs_\* でOKですか?
- 基本全部通すけれど、特定のIPアドレスは許可しないというのはできますか?
- udev と 小狼君は協調できますか?
600:login:Penguin ◆XkB4aFXBWg
07/11/26 07:15:37 x1nnOH3A
>>599
SDの連載のWiki掲載でも情報整理の必要性を認識しました。wikiについても
古い内容が更新されていないところがあるので、すみませんが当面webのほうで
確認しながら作業ください。
アクセス追加はそれで良いですが、file_patternとしてまとめて名前を
つけることもできます。
URLリンク(tomoyo.sourceforge.jp)
また、patternizeというツールもご利用ください。
URLリンク(lists.sourceforge.jp)
「基本全部通す」は、TOMOYOでは指定できませんが、近い指定は可能かも
しれません。あとで開発メンバーに聞いてみます。
udevと小狼は同時に使えるはずです。
601:login:Penguin
07/11/26 12:17:11 fkMxnajX
patternize 便利ですね~。editpolicy の (隠し機能?の)'o' もかなり使えますな。
patternize の使用法は URLリンク(d.hatena.ne.jp) がわかりやすかったです。
/proc/ccs がなくて /sys/kernel/security/tomoyo を探しだすのに手間どりましたがw
またまた質問でごめんなさい。
aggregator の第二引数は実際には存在しないパス(とかフルパス形式をとらないもの)でもOK?
例えば、
aggregator /bin/grep basic-shellscript-progs
aggregator /bin/sed basic-shellscript-progs
…
keep_domain basic-shellscript-progs from /home/yukiusagi/yue.sh
keep_domain basic-shellscript-progs from /home/sakura/kero.sh
…
のようにしてお手軽にシェルスクリプトがいじれるファイル群を制御したい。
それとも、/virtual/shellscript/basic みたいにしたほうがいいのかな?なんとなく。
# ','区切りで複数指定とか補完を使えるといいなぁ。ESCでキャンセルとか…。
# 追加成功/エラーメッセージも…
602:login:Penguin
07/11/26 12:35:40 tBfVfAfJ
>>543
TOMOYOのことをもっと勉強してみたくなったのですが、資料があまりなく先日SDのバックナンバーを全部購入しました。
でも後悔はないんですよ、TOMOYOに貢献できるのはこれくらいしかないですから。
自動学習の先は、奥が深いです。
603:login:Penguin
07/11/26 19:11:55 /yb/58Km
grant_logがうっとおしい時は echo 'MAX_GRANT_LOG=0'>/sys/kernel/security/tomoyo/profile でいいんかな。
'>' だと他の設定が消えそうなイメージがあってこわいな
604:login:Penguin
07/11/26 22:27:26 S3PFnDKS
>>599
> まとめるには、A して allow_create /var/tmp/etilqs_\* でOKですか?
はい、それでもOKです。
もし \* の部分が6文字でしたら /var/tmp/etilqs_\?\?\?\?\?\? とした方が厳密になります。
605:login:Penguin
07/11/26 22:28:40 S3PFnDKS
>>600
>「基本全部通す」は、TOMOYOでは指定できませんが、近い指定は可能かもしれません。
ホワイトリスト形式なので除外したい範囲を除いて指定してください。
例えば 127.0.0.0-127.255.255.255 を除外したければ、例外ポリシーで
address_group non-local 0.0.0.0-126.255.255.255
address_group non-local 128.0.0.0-255.255.255.255
のようにして、ドメインポリシーの方では
allow_network TCP accept @non-local 1024-65535
のように指定します。
> udevと小狼は同時に使えるはずです。
同時に使おうとすると udev が syaoran の上に tmpfs を被せてしまいますので、
(桜ちゃんのマウント制限機能である)DENY_CONCEAL_MOUNT=3 を併用する必要があります。
606:login:Penguin
07/11/26 22:29:28 S3PFnDKS
>>601
> aggregator の第二引数は実際には存在しないパス(とかフルパス形式をとらないもの)でもOK?
OKです。でも、パス名であることを示すために / で始まる名前である必要があります。
/./ とか // とかで始めれば実際に存在するパス名と衝突しないので良いかと思います。
607:login:Penguin
07/11/26 22:30:14 S3PFnDKS
>>603
> grant_logがうっとおしい時は echo 'MAX_GRANT_LOG=0'>/sys/kernel/security/tomoyo/profile でいいんかな。
setlevel プロファイル番号-MAX_GRANT_LOG=0
です。
608:login:Penguin
07/11/27 02:47:43 GsZ7Df8e
>>604-607
いっぱい答えてくれてありがとうございます。
もひとつ。再起動せずにmanager.conf の再読みこみはできないの?
609:login:Penguin
07/11/27 06:37:20 5fq2Zs/N
>>608
loadpolicy m
または
cat /etc/ccs/manager.conf | loadpolicy -m
です。
610:login:Penguin
07/11/27 08:36:51 Fp2ivJlT
, ' ,. '´ `ヽ、ヽ
,.' ,.' , , ヽ ゙、
〃/, , ,',' , ! |l | l ', ゙., ',
l| { { { !l ! lll | ! ! }l ! !
!{ | l l _r┴‐'ュ___|l! |___,','L.__ l| | |
. | '.,| ,' ヲ, ''二.ヽ.|┐ '""゙゙゙゙゙゙'''`ー/ノ!
| ,-',{l|{ (○) }| | _........._ ,',' l
| {(゙,_ミヽ 二ノ | | ,;===:.、 ,' )} l
! 〉'´,r゙|r ‐‐┐| |、 ,' .ノ !
| / /, ┴‐‐ュ'゙┘!‐‐; ,'l´ !
! | '´ ,.ィエ._| ̄l|ー' ィ | !
,' ! '" _,-r:イ r:、l_...、 - i ´ l | ',
,' ,'゙、 r| ゙、'; ゙、ヽ、`ヽ、./`\ | ! ゙、
/ /゙、 ヽ、 { { ヾ、 `'┘ ゙i、 ノ ヾ、.', ':,
. / /,-|\ `゙ヾヽ、 ノ^{'" //ヽ、 ':,
611:login:Penguin
07/11/28 23:31:11 mC4LQURi
最近の selinux-users 見てると TOMOYO のほうが断然いいんじゃないかと思えてきた。
SELinux の雑誌連載読んだり、英語記事読んだりして頭を悩ませたあの苦労は一体なんだったんだ
612:login:Penguin
07/11/29 00:20:45 VA2JqiNB
SELinuxはすぐにOFFが基本
613:デムパゆんゆん
07/11/29 00:24:34 4QZMaE+W
SE Linuxでカーネルのセキュリチーのたたき台が出来たし
市場としてもこれからでね?
SE Linuxはpostgresqlのロール権限みたいなもんだと
SD2004年10月号読んでヲレヲレ学習した
日本版SOXとな コンプライアンスとな
セキュリチー面倒だと 二律背反な現世でつ
と言う事で、ルータは気楽にふりBSDにしまつw
ごめんあさい ごめんあさいwww
614:login:Penguin
07/11/29 09:07:31 BI7MDb56
NSA作 頑丈にしてみた
615:login:Penguin
07/11/29 10:01:42 7JijcZKv
>>612
SELinux の中の人達はこういうユーザの現状を認識してんのかな?
ユーザのこと考えずに理論だけでやってる気がするよ。
616:login:Penguin
07/11/29 11:30:47 GXCy7vaZ
SELinuxは生半可なユーザは対象外
生半可な人達はこういうことを認識してんのかな?
617:login:Penguin
07/11/29 11:38:10 ZTQjLxRL
↑これはある意味正しいね
SELinuxはアメリカ政府、軍事を守るための技術
使いやすさを優先してたら生命の危機に関わる
618:login:Penguin
07/11/29 15:06:57 mGzdZ1hQ
正論すぎて泣いた
619:login:Penguin ◆XkB4aFXBWg
07/11/29 18:25:04 uxwmlobe
PacSec終わりますた。
URLリンク(lists.sourceforge.jp)
620:login:Penguin ◆XkB4aFXBWg
07/11/29 18:29:03 uxwmlobe
>>610
「名前」で騒ぐ人は多いのですが、"TOMOYO"である意味がわかっている人は
少なくて、それをいつも残念に思っていました。
621:login:Penguin
07/12/01 10:37:59 EHGz1Vat
>>620
TOMITAKE Linux
でもいいってことだよ
622:login:Penguin
07/12/01 13:21:22 alin/Y65
批判じゃないです。
古典文学(古典SFや古典ファンタジーを含む)からの引用は容易に受け入れられています。
なぜか。
近代文学からの引用というのは、敬遠されガチな気がします。
なぜか。
さらに近代のテレビ番組とジャンルが偏っていくと
その傾向が強くなるのではないでしょうか。
印象が強いものより無味無臭に近いものが無難という
ただの偏見だと思いますが、根強い擦り込みがあるのでしょうね。
それを気に止めないのは頼もしいと思います。
それがマーケティング的にプラスになるのかマイナスになるのか
ハラハラしつつ見守る無駄に小心者な部外者がわたしです。
便利なものに仕上ればいいなぁと思っているからこそ。
623:login:Penguin
07/12/01 13:40:07 EHGz1Vat
古典SFっていつごろを指すの?
ウェルズくらいまで? クラークとかは近代扱いでおk?
624:login:Penguin
07/12/01 14:32:18 alin/Y65
>>621-623
~~~~~~~~~~~
↑こういうのを無視して技術的な話を続けてください。
相手の思うつぼなので。
ノシ
625:login:Penguin
07/12/01 17:09:32 EHGz1Vat
>>624
振ってきたのは>>620だろ・・・
626:login:Penguin ◆XkB4aFXBWg
07/12/01 18:04:23 YI4Lfj9H
スマソ
627:デムパゆんゆん
07/12/01 23:35:19 qc41z5Cq
怒られたw
628:login:Penguin
07/12/05 11:15:17 CA9y6kMb
ほえー
629:login:Penguin
07/12/05 20:54:48 Nsoz8sT6
1.5.2が出ているね。
いつも通りVineで無事再構築終了。
自分の環境に今回の修正はあんまり影響なさそうだったけど気分的に常に最新版を(→これで他の事でもよく地雷踏んでるが)。
マイナーアップみたいなので左程問題が発生するとは思えないですが、取りあえずリリースされたらされたで公式ページにその情報は出して欲しいなぁ…と少々希望。
ところで…/usr/sbinにもccsツールが入るようになっているようですが何か事情があったのでしょうか。
630:login:Penguin ◆XkB4aFXBWg
07/12/05 23:23:47 /OndcmTF
>>629
リリースについては、歴史的な経緯により以下の順で行っています。
1. tomoyo-users mlへの投稿 by 熊猫
2a. はてなキーワードへの追加 by 中野
2b. SourceForge.jpのプロジェクトニュースへの掲載 by 中野
3. LXRの更新 by 中野
もっとも早く、もっとも情報量が多いのが1で、2aや2bは1の内容を
それぞれの場に適したものに編集してから掲載しており、2bを先に書いて
2aではそれをポイントしていることがありますが、そのあたりは
やはり1の内容によりその都度判断しています。1を熊猫さんが行っているのは、
「より詳しい情報をロスなく早く提供する」という考え方と理解下さい。
ということでちょっと他のプロジェクトとは違うかもしれませんが、
ユーザや開発者の方には是非tomoyo-usersを購読いただきたいと思っています。
mlの過去のアーカイブを見ると1について、午前0時に行われていることが
わかりますが、これは社内リリース手続きの完了を待って行って
いたためです。ターボさんでの採用やディストロ対応を行ってくださる方の
ために上記に加えて事前予告を始めました。
631:login:Penguin
07/12/05 23:39:23 1q9gnTlu
>>630
何故 devel へは告知しないの?
632:login:Penguin ◆XkB4aFXBWg
07/12/05 23:40:32 /OndcmTF
>>631
プロジェクトの中では「develの人はusersは読んでいる」と思っているからです。
633:login:Penguin ◆XkB4aFXBWg
07/12/06 00:03:46 WbWUOs9u
>>629
今回のリリースで、/usr/sbin/の下にシンボリックリンクを置くことにしたきっかけは
/usr/lib/ccs/の下に実行可能ファイルを置くのはtomoyo-devで
FHS (Filesystem Hierarchy Standard)として好ましくないという指摘が
あったことがきっかけです。
これから全く新規に提供するものであれば最初からFHS準拠にするのですが、
/usr/lib/ccsの下に置かれたファイルの場所を変更するとmanager.confや
既存のポリシーに影響してしまうため、このような形態を選択しました。
真の解決ではないので、どこかのタイミングで整理したいと思っています。
また、オンラインマニュアル作成の際にSELinuxとのコマンド名重複が
発見されたので/usr/sbin/配下ではccs-という接頭辞を追加しました。
634:デムパゆんゆん
07/12/08 21:54:36 sHGmKago
init_policy.shもう一度やり直すとき、
/etc/ccs以下を削除すればいいニカ?
ISP全面規制だ
アイゴー
635:login:Penguin
07/12/09 00:07:15 fw91IWD0
/etc/ccsをバックアップ取って実行してみるニダ。
大丈夫なはずだが駄目だったら時空太閤HIODEHOSHIのせいにすれば良いニダ。
/etc/ccs/profile.confを弄っているなら…
xargs -0 setlevel < /etc/ccs/profile.conf
をしておいた方が良いニカ?
636:login:Penguin
07/12/09 03:26:02 awIRvzBx
いつのまにこんなに盛況なスレに!
で、メインラインに入ったんですか?
忙しくて今年一杯は何もできない者より
637:デムパゆんゆん
07/12/09 11:51:49 mvxahewm
>>635
時は遅し アイゴ~
rm -rf /etc/ccs
www
less init=policy.sh したら
最後の数行でディレクトリ掘ってたからとりあえずフォルダ削除したニダよ
やっとfedora 8で動いた あぁ感無量
selinuxと共存させているがインスコが面倒過ぎる以外は特になんもない
seeditでポリシをさわってニヤニヤ tail /var/log/tomoyo/reject_log.txtみてニヤニヤ
FreeBSDでルータの話はどうなったか・・・。
7.0BETA3はインスコできなかった BETA4で試す気力がない
そんなわけで、いぢけて犬に戻ってきたでがんす ワン
638:login:Penguin
07/12/10 01:08:30 XfaDvWiE
>>637
FreeBSD7.xでルータ化ニカ?
素直に6.3出るのを待って6Stableで使った方が良さ気ニダ(5系統は微妙)。
TOMOYO BSDでも出れば使いたいニダ。
それにしてもSDにあったSSHログイン時の小技は良いニダよ。
/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上でログイン後に認証取らないとなーんにもできないようにしてやったニダ。
個人鯖なら認証の回数はやりたい放題なのが気に入ったニダ。
外部野ざらしは怖い怖い。
639:デムパゆんゆん
07/12/10 11:09:53 weSbgjCG
>>638
もぱようござる
フリBSD7.0のzfs使ってみたかったニダよ
最初からzfsぢゃないんだな(泣 新しいのでないとイヤダイヤダ
address eth0とかtun0とかinterfaceで指定出来ないかのぅ?
wanだとダイナミックDNSとか使ったときアドレス変わるから繋がらなくなりそうな
オカン時々僕とオトン こういう使い方がよくないのかしらん
setprofile -r 3 "<kernel>"selinuxもenforceにすると強烈でつ
シャットダウンできましぇんwww
ファイルシステム ”/”以下全部制御したい気分
>/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上で
>ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
保護するの/usr/sbin/sshdだけでいいニカ?
接続はwan→lan lan→lanへ別の端末?
wanからのsshはやっぱりポートを開けねばならぬのぅ
VPNにしてwan0に仮想的にプライベートアドレスを割り当てられるのだらうか
sshの小ネタ集 SDのバックナンバー買ってくる ムムム
CTUみたく衛星回線でスクランブル発信で自動的にポートが開けられるとか フフフ
640:login:Penguin
07/12/10 22:09:35 XfaDvWiE
>>639
SSH小ネタ集…というか、ログインセッションネタはSDの10と11月号ニダ。
けっしてウリはSD編集部の回し者ではないニダ。
ちなみにウリの環境は[WAN側]-[ルータ]-[LAN配下のPC]ニダ
ssh踏み台用サーバとMailとWeb用のサーバがあるけどMailとWeb鯖のsshポートは/usr/sbin/sshを固めた踏み台用PCしかログインできないようにしているでつ。
MailとWebもTOMOYOで固めているでつが、今のところ不都合なく半年以上またーりと運用できているニダ。
楽を覚えてしまうと他の事を覚えるのが面倒になってしまうのはきっと日帝の陰謀ニダ!
641:login:Penguin ◆XkB4aFXBWg
07/12/10 23:36:14 lunSW/hp
明日、SDの編集さんと会うニダ。
来年の連載をどうするか話し合うニダ。
月刊誌の連載はつらいものがあるので、役に立たないなら遠慮したかったりするニダ。
意見、希望、コメント、その他あれば参考にするニダ。
ニダって何のことかわからないニダ。
642:login:Penguin ◆XkB4aFXBWg
07/12/10 23:41:48 lunSW/hp
>>636
メインラインにはいってたらここにも報告しているニダ。
Smackはmmツリーに入ったけれど、パス名ベースの
AAとTOMOYOは「よくわからない状態」になってしまっているニダ。
SELinuxチームにはいじめられなくなったけれど、
押してくれる人もいないし、誰が決めるかよくわからない変な状態ニダ。
LSMの見直しとか議論が始まってさらに謎は謎を呼んでいるニダ。
この状況を打開し、巨大な陰○と戦うべく近日再び動くニダ。
643:login:Penguin ◆XkB4aFXBWg
07/12/10 23:47:11 lunSW/hp
URLリンク(packages.debian.org)
> 新しいパッケージポリシー対応作業などもするので、アップデートは
> もう少し後になります。
とのこと。感謝感謝。(_ _)
644:login:Penguin ◆XkB4aFXBWg
07/12/10 23:53:56 lunSW/hp
11/29でPacSecで講演しました。資料は既にSF.jpで公開しています。
はてなからたどるのが簡単ニダ。
URLリンク(d.hatena.ne.jp)
12/12にThinkITにレポートが掲載されます。
次のTOMOYO的なイベントは、1月末のITexpoでの展示です。
ネットワークセキュリティExpert 7も発売になったようです。
日経Linux最新号では、CELFの方によるメインライン特集ありなのでそちらも要チェック。
URLリンク(itpro.nikkeibp.co.jp)
645:デムパゆんゆん
07/12/11 00:04:38 3zCF9GCJ
>>640
ややこしいことしてまつね
同じ構成どこかの記事になってたような
探してみるか。
URLリンク(www.tamanegiya.com)
SDの連載毎回担当決めて持ち回りでやるのふぁ?
一人にかかる負担が減るとオモ
ちょっと前LKMLざっと見た印象
ずっと熊猫せんせ~とLSM担当のトロンドせんせ~が平行線な感じ
URLリンク(lkml.org)
LKML読んでselinuxのステファンだったか
そもそもLSMがあんまり気に入らないみたいな印象だった
LSMつかってセキュリチーモヂュール作ってるのヲレらだけぢゃん?みたいな
ぢゃぁLSM仕様変えるとか、そもそもいらんのちゃう?と遠回しに言っているような気がした。
言い方が悪くlinuxを支配しようとするNSAの陰謀だ!!!みたくなって
つーかトロンドタンも相当偏屈だw 他の人にもイラネの一言だ ウーム
646:login:Penguin ◆XkB4aFXBWg
07/12/11 00:05:05 lunSW/hp
12/21のCELF Jamboreeは要チェック。
URLリンク(tree.celinuxforum.org)
647:login:Penguin ◆XkB4aFXBWg
07/12/12 08:20:35 AFvxJNeo
>>635
>xargs -0 setlevel < /etc/ccs/profile.conf
1.5.x なら
loadpolicy p
または
cat /etc/ccs/profile.conf | loadpolicy -p
でもOK。( p は profile.conf の p 、 m は manager.conf の m ね。)
setlevel は loadpolicy で代用可能、 setprofile は editpolicy で代用可能。
648:login:Penguin ◆XkB4aFXBWg
07/12/12 08:21:11 AFvxJNeo
>>638
>ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
この手法はシェルを起動する場合にのみ適用可能な点に注意してくださいね。
ポート転送の場合にはシェルを起動する必要がないので、
MAC_FOR_NETWORK も併用して制限してやらないと
自由に ssh -L や ssh -R によるアクセスができてしまいます。
649:login:Penguin ◆XkB4aFXBWg
07/12/12 08:21:41 AFvxJNeo
>>639
>address eth0とかtun0とかinterfaceで指定出来ないかのぅ?
インタフェースでの指定はサポートしていませんが、
address_group eth0 192.168.0.1 のような方法で exception_policy.conf に記述しておけば、
allow_network TCP bind @eth0 22 みたいに domain_policy.conf で指定できます。
あとは、IPアドレスが変化したら address_group eth0 を更新するスクリプトを走らせば
動的に変化しても対処でき・・・るかな?スクリプトの内容は
echo address_group eth0 新しいアドレス | loadpolicy -e
echo delete address_group eth0 古いアドレス | loadpolicy -e
てな調子です。
650:デムパゆんゆん
07/12/12 20:49:24 1GwRrgco
>>649
さんクスコ
適当にグループ名つけて分けられるんだにゃ
iptableみたいだ
マニュアル読んでて混乱してきた ウーム
メモ代わりにブログでも書くか
>ニダって何のことかわからないニダ。
朝鮮語の皮肉
文末に~ニダ ~ニカ? 感嘆詞 アイゴ~ とかetc
ちなみにセキュリティーexpoert part7読んだ ウム
651:デムパゆんゆん
07/12/12 21:07:08 1GwRrgco
忘れてた
来年のSD連載どうなるでつか?
とりあえず今年の1-12月号が聖典に~
御布施するぞお伏せするぞ
だんだん特アすれみたくなってきたな まともな人間モードにしよう
652:login:Penguin ◆XkB4aFXBWg
07/12/12 22:02:12 sQVncvfj
>>648
あ、言い忘れました。
MAC_FOR_NETWORK を使わずとも OpenSSH の設定( /etc/ssh/sshd_config )で
ユーザ名やグループ名に基づくポート転送の制限を行うことが可能です。
詳細は URLリンク(www.oreilly.co.jp) の本に書かれています。
TOMOYO でも allow_network TCP connect 192.168.1.1 80 if task.uid=1000-2000 のように
ユーザIDやグループIDに基づくアクセス制限をサポートしています。
653:login:Penguin ◆XkB4aFXBWg
07/12/12 22:03:26 sQVncvfj
URLリンク(www.thinkit.co.jp)
インプレスIT、やばい会社だ。
654:login:Penguin ◆XkB4aFXBWg
07/12/12 22:06:26 sQVncvfj
>>651
昨日、編集さんと打ち合わせますた。
来年も6回くらいの連載を書く方向で検討します。
8ページで、記事は6ページ、残りの2ページはプロジェクトのニュース、
という提案をいただきますた。
以前も書きましたが、「中の人」だけじゃなくて、この板を含めた
ユーザと一緒に執筆してみたいと思っています。丸投げではなく、
一緒に書くというイメージです。興味ある人があれば連絡ください。
655:login:Penguin
07/12/12 23:15:12 1hor2Jgk
>>652
ふむふむ。
普段ほとんど(自分の環境では)ポート転送使っていないので頭から完全に抜け落ちておりましたですたい。
色々試してみますが、選択肢があることはよいことですね。
試して楽な方を選ぶことができるので。
656:login:Penguin
07/12/13 00:59:17 o8kOiAbC
せんせーは、ばりばり英語が書けてすごい…。
というか、著名な開発者の方々は皆書けるんですよね…。
おれもこの前英語圏のプロジェクトにバグ修正
ってか機能追加の提案したけど一向に返事が来ない…
あまりにひどい英語だったから無視されちゃったのかなぁ (´・ω・`)
657:login:Penguin ◆XkB4aFXBWg
07/12/13 01:28:19 B3Y4lHaA
>>656
LKMLのTOMOYOのスレッドをたどるとわかりますが、
返事をもらえてないのは日常茶飯事です。返事をもらえなくて困るのは、
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
話すときも書くときも「これで良いのか?」を考えすぎると
何もできなくなるし、気持ちが委縮して、かえって伝わりにくくなります。
日本にきた外国人の人が片言でも言いたいことがわかるのと同じで、
「伝えたい」という気持ちをもっていれば、伝わります。
オタワでは母国語が英語でない人もたくさんいて、その人達の言葉は
やっぱりわかりにくかったのですが、でもそれでいいんです。
658:login:Penguin ◆XkB4aFXBWg
07/12/13 01:29:41 B3Y4lHaA
>>657 行が抜けてしまいますた
返事をもらえなくて困るのは、もらえない理由や、読んでくれたかが
わからないことです。また、メールで困るのは
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
659:デムパゆんゆん
07/12/13 09:53:54 Wths6Dev
もぱようございます
インプレス グローバルな時代にあわせろかぁ。w
読むのにも1週間かかる ウーム
誤字脱字はにちゃんねるの文化 これでいいのだ
660:login:Penguin
07/12/13 14:06:23 CV+mmHd8
CLANNADの智代かと思った
なんつってジョークだよ許してよ
661:デムパゆんゆん
07/12/15 03:27:09 gceWszq3
ソウルで零戦に乗って、韓国国会前で着陸したら許してもらえるかもニダ
最近思うのはつっこむとselinuxと余り変わらない気がするなぁ
/home 以下ユーザでログインできない あぁ無情
gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
パッチ出たのが一昨日だっw
ともよタンそんなに困らさないででよん
662:login:Penguin ◆XkB4aFXBWg
07/12/15 10:24:51 h9rQF8ZE
>>661
もうちょっと詳しい情報キボンヌ
663:デムパゆんゆん
07/12/15 15:52:47 gceWszq3
上官殿ッ!!! 報告するであります
鳥はF8 initは5が前提
selinuxはenforce TOMOYOは setprofile -r 0,1,2,3 <kernel>
/home 以下ユーザでログインしたら
gdm-binary[2660]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
こんなメッセージが出る
selinuxがpermissiveだとログインできる
起動時/etc/X11/xinit/Xsessionの直前で/tmpにアクセスがあり
TOMOYO-WARNING: Access 'create /tmp/.gdmOOKP2T' denied for /usr/sbin/gdm-binary
TOMOYOが プロファイル1の時でも/tmp以下は学習はするものの
制御してるのかと思い /tmp以下全部許可にしたりした
selinuxで/usr/sbin/gdm-binaryのアクセス権限がだめなのかと思い
現在ググル先生にご意見拝謁賜っておりまつ
続く
664:デムパゆんゆん
07/12/15 16:12:09 gceWszq3
>gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
>パッチ出たのが一昨日だっw
勘違いだった リプライの日付でつた selinuxも関係なさそうだあぁ無情
URLリンク(bugzilla.redhat.com)
怒らないで ともよタン
鳥が鳥だけにメンテナも七転びバットウ
URLリンク(lists.linuxcoding.com)
バグ再発
このまま茨の道を歩き続けるかselinuxをpermissiveにするか
localhost acpid: client connected from 2066[68:68]
localhost ccs-auditd: Started.
localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found
localhost pcscd:last message repeated 3 times
localhost acpid: client connected from 2168[0:0]
localhost gdm-binary[2198]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
localhost gdm-binary[2212]: Gtk-WARNING: Ignoring the separator setting
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2213]: Gtk-WARNING: Ignoring the separator setting
こんな感じ ばぐ太なのか権限が足りないのかウーム
続く
665:login:Penguin
07/12/15 16:15:33 1GRMYg0A
┌─‐‐─┐ みなさんは2ちゃんねるの初心者ですか?書き込む前に
|_____________| SG(セキュリティー・ガード)に登録しないと自作自演がバレてしまいますよ。
='========='== SGに登録せずに書き込んだ場合、あなたのパソコン内の
/ \ /│ 情報は他人に見られていると考えてほぼ間違いないでしょう。
┌|-(・)-(・)-|┐ 自作自演がばれる方の多くはこの登録を怠っています。
└| 〇 .|┘ 初期の頃から2ちゃんねるにいる方達は、ほとんどの方が
| ___ |||||__ | このBBSのコマンドの仕組みを知っています。ですから簡単に
| \__/ | あなたのIPアドレス等を抜き取り自作自演を見破ってしまいます。
| ||||| | このコマンドの方法は決して教えないというのが初期の頃から
2ちゃんねるにいる方達の間で暗黙の了解となっていましたが、
あまりの被害の多さに心を痛めた私はあえて公開することにしました。
SGしておけばまず抜かれるコマンド自体が無効になってしまうのでどんなにスキルが
ある人でもIPアドレスを抜くことが不可能になります。SGに登録する方法は、
名前欄に「 fusianasan 」と入れて書き込みする。これだけでSGの登録は完了します。
一度登録すれば、Cokkieの設定をOFFにしない限り継続されます。
fusianasanは、正式にはフュージャネイザン、又はフュジャネイザンと読みます。
元々はアメリカの学生達の間で、チャットの時にセキュリティを強化する為に
開発されたシステムです。これを行うことにより同一人物が書き込んでいるか
どうか判別する手段が遮断されるので安心です。ぜひ書き込む前には
名前蘭にfusianasanと入力してください。自分の身は自分で守りましょう
666:デムパゆんゆん
07/12/15 16:29:35 gceWszq3
あとはTOMOYOでこんなログが
localhost kernel: TOMOYO-WARNING: Domain '<kernel> /sbin/init /etc/X11/prefdm /usr/sbin/gdm
/usr/sbin/gdm-binary /etc/X11/xinit/Xsession /bin/bash /usr/bin/ssh-agent /usr/bin/dbus-launch
/etc/X11/xinit/Xclients /usr/bin/gnome-session /usr/bin/gnome-panel
/usr/bin/gnome-terminal /bin/bash /usr/bin/yum'
has so many ACLs to hold. Stopped learning mode.
selinuxとTOMOYO両方使いたいのぅ 気分的に使うIDS減るオカン 運用は地獄でつ
上官殿!!! 不本意な成績で申し訳ありません 自分の不遜にあります
以上、台湾航空隊第二攻撃隊のラバウル航空戦の戦績を報告するでありますっ!!!
667:login:Penguin ◆XkB4aFXBWg
07/12/15 17:42:10 h9rQF8ZE
Q. 結局のところ何が問題か説明せよ(長すぎてわからないぞ)
Q. 「問題」は(a) SELinuxの問題、(b) TOMOYO Linuxの問題、(c) 切り分けできていないのどれになるか?
(TOMOYOに関係なく発生するならまずselinux-usersに質問するのが吉だ)
668:デムパゆんゆん
07/12/15 18:55:14 gceWszq3
A、(a) SELinuxの問題
ウリはネタ投下のつもりでやってるニダよ
ネタにならないなら投下しないニダ
うわぁ~ん
669:login:Penguin ◆XkB4aFXBWg
07/12/15 19:42:50 h9rQF8ZE
>>668
ネタ投下ですか。それは失礼しますた。ネタは自由に投下ください。
TOMOYOの話題限定でなくても良いのですが、早く解決するには
SELinuxのほうに聞いたらと思ったのでした。
yumは特別な事情というか理由がなければ学習させなければ
良いと思います。(でもこれもネタか?)
670:login:Penguin
07/12/26 01:38:13 r4ypI5fU
Vineが4.2へ。
一応Kernelが2.6.16-0vl76.27に切り替わっているけど既存の2.6.16-0vl76.3用パッチファイルで問題なくTOMOYO仕込んで再構築完了。
まぁ…マイナーアップなのである意味当然な結果になりましたが…。
671:login:Penguin ◆XkB4aFXBWg
07/12/27 07:40:40 SXWTylVx
TOMOYO Linuxのディストリビューション対応状況2007.12.25版です。
URLリンク(lists.sourceforge.jp)
添付されていたExcelをGoogle Spreadsheetsで公開してみました。
URLリンク(spreadsheets.google.com)
672:login:Penguin
07/12/28 01:37:38 tdQ5au30
ccs-toolsをコンパイルするにあたり、必須な物って何がありますか?
当方Debian(Etch/Lenny)を使っているのですが、make中に大量のWarningを吐き出してしまいます。
一応、Errorは吐き出さないので成功…なのかもしれませんが、ちと気になります。
以前までVinelinux4.1を使っていたのですが、その時はWarningは吐かなかったので…。
make -C ccstools/ all
make: Entering directory `/root/ccstools'
gcc -Wall -O2 -o ccstools ccstools.src/*.c -lncurses -DCOLOR_ON
ccstools.src/ccstools.c: In function 'IsDomainDef':
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of '__builtin_strcmp' differ in signedness
(中略)
timeauth.c:272: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
timeauth.c:274: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
gcc -Wall -O2 -o falsh falsh.c -lncurses -lreadline
make: Leaving directory `/root/ccstools'
Debian自体は最小構成でインストールしているのでほとんど余計(必須)な物が入っておりません。
取りあえず
make
libncurses5-dev
libreadline5-dev
は入れております。
673:LiveCDの中の人
07/12/29 03:31:21 i64ao+JI
>>672
結論から言うと、このwarningは無害です。
警告を消すには、Makefileの35行目のコメントアウトを解除して、
37行目をコメントアウトしてください。
Vineで出ずにEtch/Lennyで出る、というのは、
Vineのgccが、この警告を表示するオプションno-pointer-signが
まだ実装されていないバージョンのためです。
TOMOYOの内部では文字列をunsigned charポインタで表現していますが、
strlenなどの関数が受け取り方がただのcharポインタであることが原因です。
674:login:Penguin
07/12/29 09:11:51 S76xHoyg
>>673
文字コードに依存した処理(文字コードに子息演算とか)をしなければ、charで事足りると思うのですが、
敢えてucharな理由はなんですか?
675:login:Penguin
07/12/29 15:07:37 hCsJ400H
>>674
TOMOYO ではエンコーディングは考慮しません。
全ての文字列を ASCII printable な文字だけで構成します。
そのため、 ASCII printable ではない範囲のバイト
( 0x01 ~ 0x20 および 0x7F ~ 0xFF )については
\ooo という8進数で表記します。
この4バイトで表記される8進数データと1バイトで表記されるバイナリデータとを
相互変換する際にビット演算が必要になるので、毎度 signed か unsigned かを
考慮するのが面倒という理由から、最初から unsigned で扱うようにしています。
また、 ASCII printable でないことを検査する際に
1 以上 32 以下または 127 以上 255 以下と表記する方が
-128 以上 -1 以下または 1 以上 32 以下または 127 と表記するよりも
理解しやすいと考えています。
技術的には必要に応じて unsigned char にキャストすれば可能です。
676:login:Penguin
07/12/30 00:52:55 ekUClILt
>>673
Thxです。
677:login:Penguin
07/12/30 04:09:27 LWrRAHuk
英語と日本語で両方ある場合は、相互に対応するページ、最低トップには
リンク貼っといた方が良いかもです。
検索とかで飛んできた人もいるので。
678:login:Penguin
08/01/07 12:00:43 6LLk5psJ
CONFIG_XXXX
のXXXXは機能を意味する英語であって、コードネームであっては
ならんと思うんだが、どうよ?
679:login:Penguin
08/01/07 20:00:13 /JVv+gmI
そいや今更だけどDebian LinnyのパッケージにTOMOYOタンが入っているね。
ただDebianのポリシーそのままに行くと1.5.x→1.6.xとかの変更が推奨されたときもパッケージに入らない気がするけどその辺りどうなんでしょ?
記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。
680:login:Penguin
08/01/07 22:35:29 kortU+/c
>>679
> 記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。
stable はそうです。
681:login:Penguin
08/01/07 22:43:32 kortU+/c
より正確に言うと stable になった場合は、基本的には security fix のみで、
それ以外は機能的に大きく問題になるような(機能しなくなるような)点に関する
修正だけが協議の上で入れられる状態です。
ま、新しいの追いかけたい人は unstable 使うでしょうからあまり気にすることも
ないでしょう。
682:login:Penguin
08/01/17 05:20:31 V/IoaRhx
なんだ、まだNAGATO linuxに改名してないのかよ
683:login:Penguin
08/01/17 08:22:12 SV+g1jpN
>>682
アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ?
そんだけではアレなので。
MACに興味あるので古いPen!! BXマシンのDebian Woody(ぉぃ)な内部用自宅鯖をOS含め入れ替える序に使ってみようとプラン立ててます。
思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
運用モードである日あるアプリがエラーで落ちたときにログを書き出そうとしたりアラートプログラムを起動させようとしても事前に学習させてなければTOMOYOに妨害されるという可能性。
護るという点ではそれは正しい挙動なのだけど、なかなかポリシーを作るってのは難しいですね・・・
幸いLinuxで動かすアプリは大抵オープンソースだから追いかけるのも不可能ではないのが幸せな所かも。
TOMOYOにもSELinuxみたいな出来合いポリシーまでは行かないですが、
「Apache動かすならココ許可し忘れに注意ね。」みたいな指南があると楽なんだろうなぁとも。
684:login:Penguin
08/01/17 08:29:07 SV+g1jpN
ま、単にWindowsメインで暮らしてLinuxを少し触れるだけのプログラムやハックが趣味な人の戯言やチラシ裏と流して頂ければと。
学習モードで眺めるのがなんとなくFilemonやProcess Monitorとかと感覚的に似てそうだなぁとニヤニヤしてます。
Filemon URLリンク(technet.microsoft.com)
Process Monitor URLリンク(technet.microsoft.com)
Windowsアプリは未だにアクセス権に対してテキトーな物が多いのが悲しい事ですたい。
この間もUsersで動かすと落ちるとかいうのを調べたら権限のない場所に書き込もうとして失敗したのに次のステップを強行してぬるぽで落ちてる始末。
みんなAdministrator(root)だった頃の癖が抜けてないプログラマー(というよりSEさん)が多い様で。
Linuxアプリは歴史的に有る程度考えて組まれてるみたいですけど物によっては同じ状況もあるのかなー?
ちゃんとやってればVistaのUACもそう大騒ぎする事でもない、UAC有効で問題ない状況だったはずなのになー
あれだ、キモイパソオタでしかもドザでさーせん。風邪で脳に蛆がわいてるみたい。
就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
出席足りなくてヤバイですよ。機械の体が欲しいです切実に。螺子になるのは嫌だけど。
スルーしてちょ。ただ、TOMOYOをみんなに運用しようと思ったらポリシーを網羅するのは大変だろうなと。
TOMOYOの良いところは俺のドキュメントは俺がKDEから起動したOOoからしか読み書きさせねー、
Apacheから来たアクセスははじいちゃるなんてのがファイルシステムのアクセス権に関係な実現できそうな事ですねー
685:デムパゆんゆん
08/01/18 20:24:15 5cuexXpF
おはぎゃぁぁぁ~
>アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
>萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ?
今まではTCPmon squrd トリップワイヤ とかいろいろ使ってあれこれ試行錯誤
あれ? どうしてレスしてしまったのか
管理する人間にしてみればTOMOYOが出て随分楽になるのでふぁ
>思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
自分も前おんなじ様なこと書いたような気が駿河
TOMOYOタン思考停止はい神崎
apache スクリプトでTOMOYOログ監視してストポみたいなエラーでたら
携帯にメイル発信するとか
んで、SSHでリモートからあぱちぇ再起動 ウマー
そしたならば、うちに帰ってから再学習させればよかっぺ
ヲレ様って頭いい~とか自画自賛してみるが、
その昔日経コンピューターで特集やってたのを言ってみただけだwwwww
採用してた会社は遠い記憶で東京三菱うふぁじゃぁ銀行
それでふぁ失礼したいのでつが その前におちっこ
>>684
>就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
せんせ~の足にしがみついて、だた様マンセ~ ダタ様マンセ~
と、叫んでみると あら不思議 目の前にまっさらの履歴書があるわけです。
ストーカーチックでつね 名前も貞子に
あれ ディスプレイの電源が入ってる・・・・・・・。
風でなくても脳が沸いてるヲレなんですが
すかしっぺ
686:login:Penguin
08/01/18 20:37:47 l92/rN1X
>>685
結果をその場で予め決められたとおりに下すんじゃなくてデスクトップ用途で使うならアラートダイアログが出て
「ともよちゃんがさくらちゃんを着せ替えしようとしてるけど、実行してよかと?だめと? <<やー>> <ないん>後10秒...」みたいなモードがあると面白そ
687:login:Penguin
08/01/18 22:07:32 BvMIQ0O1
外部アプリケーションへのフック機能か。
セキュリティ的になんか心配な気はするけども。
688:login:Penguin
08/01/19 13:42:03 HMoPyc1e
>>682
改名はありません。
URLリンク(I-love.SAKURA.ne.jp)
>>683
ある程度ユーザが増えてくればユーザ間でのノウハウ流通が増えてくると思うのですが、
最初は難しいので、ソフトウェアの開発元さんにお願いしたいところです。
>>684
TOMOYO Linux は「情報の伝搬」(情報フロー)を監視/制限するモデルではなく
「アクセス要求の連鎖」を監視/制限するモデルですから、
Filemon や Process Monitor とかと似ているでしょうね。
>>685
/etc/crontab または専用デーモンを使って、 /var/log/tomoyo/reject_log.txt に変更が
あった場合に携帯にメールを送るということならできるでしょう。