TOMOYO Linuxat LINUXTOMOYO Linux - 暇つぶし2ch■コピペモード□スレを通常表示□オプションモード□このスレッドのURL■項目テキスト585:login:Penguin ◆XkB4aFXBWg 07/11/23 00:29:54 ikI5IeJ7 2.1のネットワーク関係でバグが見つかったので、少し前に2.1.1をリリースしました。 もし使っている人があれば更新ください。 586:login:Penguin ◆XkB4aFXBWg 07/11/23 00:36:29 ikI5IeJ7 ネットワークセキュリティExpert 7の発売は12/8のようです。 TOMOYO Linuxプロジェクトで9ページの記事を書きました。 内容は現在挑戦中のメインライン化で、プロジェクトメンバー3人で 分担して書いていますが、結構面白いものになりました。 日経LinuxでもCELFの方がメインライン化について書かれたようで、 そちらの内容も楽しみにしています。 587:login:Penguin ◆XkB4aFXBWg 07/11/23 00:51:01 ikI5IeJ7 >>584 ちょっとだけヒント。 ttp://takabsd.jp/d/?date=20060906 あとで簡単に説明します。でふぁ 588:login:Penguin ◆XkB4aFXBWg 07/11/24 09:58:57 jgoLKUrq PacSecの準備を始めたのでちょっと忙しくなりました。しばらくレスポンスが 悪くなるかもしれません。解説します。 SELinuxでは、アクセスの主体(サブジェクト)とアクセスの対象(オブジェクト)の ラベルにより、アクセスを許可して良いかどうか判断しますが、 サブジェクトもオブジェクトもラベルは「ひとつ」しか付与できません。 /bin/shでもApacheでも、特定の用途だけについてポリシーを書くことは 可能ですが、Linuxではさまざまなものが互いに関わりながら動いていますから それらをうまく「調停」するようなラベル付けを工夫しなければなりません。 「調停」のわかりやすい例は、/homeのラベルとApacheのラベルで、それが あっていないとApacheでユーザのホーム配下が開けなくなります(実際、 よくそうしたクレームがあがっていました) /bin/shには、(最新の状況は確認していませんが)shell_exec_tというラベルがつけられていて、 それに基づいて他のラベルやドメイン遷移は定義(設計)されていますから、 勝手に/bin/shのラベル定義を他のラベルに変更するとたちまち色々なものが動かなくなります。 そのことが理解できると、「reference policyであってもtargetedであっても 提供されているポリシーの内容を理解しないと、本当の意味でのカスタマイズは できない」という意味がわかると思います。(続く) 次ページ最新レス表示レスジャンプ類似スレ一覧スレッドの検索話題のニュースおまかせリストオプションしおりを挟むスレッドに書込スレッドの一覧暇つぶし2ch