07/11/26 07:15:37 x1nnOH3A
>>599
SDの連載のWiki掲載でも情報整理の必要性を認識しました。wikiについても
古い内容が更新されていないところがあるので、すみませんが当面webのほうで
確認しながら作業ください。
アクセス追加はそれで良いですが、file_patternとしてまとめて名前を
つけることもできます。
URLリンク(tomoyo.sourceforge.jp)
また、patternizeというツールもご利用ください。
URLリンク(lists.sourceforge.jp)
「基本全部通す」は、TOMOYOでは指定できませんが、近い指定は可能かも
しれません。あとで開発メンバーに聞いてみます。
udevと小狼は同時に使えるはずです。
601:login:Penguin
07/11/26 12:17:11 fkMxnajX
patternize 便利ですね~。editpolicy の (隠し機能?の)'o' もかなり使えますな。
patternize の使用法は URLリンク(d.hatena.ne.jp) がわかりやすかったです。
/proc/ccs がなくて /sys/kernel/security/tomoyo を探しだすのに手間どりましたがw
またまた質問でごめんなさい。
aggregator の第二引数は実際には存在しないパス(とかフルパス形式をとらないもの)でもOK?
例えば、
aggregator /bin/grep basic-shellscript-progs
aggregator /bin/sed basic-shellscript-progs
…
keep_domain basic-shellscript-progs from /home/yukiusagi/yue.sh
keep_domain basic-shellscript-progs from /home/sakura/kero.sh
…
のようにしてお手軽にシェルスクリプトがいじれるファイル群を制御したい。
それとも、/virtual/shellscript/basic みたいにしたほうがいいのかな?なんとなく。
# ','区切りで複数指定とか補完を使えるといいなぁ。ESCでキャンセルとか…。
# 追加成功/エラーメッセージも…
602:login:Penguin
07/11/26 12:35:40 tBfVfAfJ
>>543
TOMOYOのことをもっと勉強してみたくなったのですが、資料があまりなく先日SDのバックナンバーを全部購入しました。
でも後悔はないんですよ、TOMOYOに貢献できるのはこれくらいしかないですから。
自動学習の先は、奥が深いです。
603:login:Penguin
07/11/26 19:11:55 /yb/58Km
grant_logがうっとおしい時は echo 'MAX_GRANT_LOG=0'>/sys/kernel/security/tomoyo/profile でいいんかな。
'>' だと他の設定が消えそうなイメージがあってこわいな
604:login:Penguin
07/11/26 22:27:26 S3PFnDKS
>>599
> まとめるには、A して allow_create /var/tmp/etilqs_\* でOKですか?
はい、それでもOKです。
もし \* の部分が6文字でしたら /var/tmp/etilqs_\?\?\?\?\?\? とした方が厳密になります。
605:login:Penguin
07/11/26 22:28:40 S3PFnDKS
>>600
>「基本全部通す」は、TOMOYOでは指定できませんが、近い指定は可能かもしれません。
ホワイトリスト形式なので除外したい範囲を除いて指定してください。
例えば 127.0.0.0-127.255.255.255 を除外したければ、例外ポリシーで
address_group non-local 0.0.0.0-126.255.255.255
address_group non-local 128.0.0.0-255.255.255.255
のようにして、ドメインポリシーの方では
allow_network TCP accept @non-local 1024-65535
のように指定します。
> udevと小狼は同時に使えるはずです。
同時に使おうとすると udev が syaoran の上に tmpfs を被せてしまいますので、
(桜ちゃんのマウント制限機能である)DENY_CONCEAL_MOUNT=3 を併用する必要があります。
606:login:Penguin
07/11/26 22:29:28 S3PFnDKS
>>601
> aggregator の第二引数は実際には存在しないパス(とかフルパス形式をとらないもの)でもOK?
OKです。でも、パス名であることを示すために / で始まる名前である必要があります。
/./ とか // とかで始めれば実際に存在するパス名と衝突しないので良いかと思います。
607:login:Penguin
07/11/26 22:30:14 S3PFnDKS
>>603
> grant_logがうっとおしい時は echo 'MAX_GRANT_LOG=0'>/sys/kernel/security/tomoyo/profile でいいんかな。
setlevel プロファイル番号-MAX_GRANT_LOG=0
です。
608:login:Penguin
07/11/27 02:47:43 GsZ7Df8e
>>604-607
いっぱい答えてくれてありがとうございます。
もひとつ。再起動せずにmanager.conf の再読みこみはできないの?
609:login:Penguin
07/11/27 06:37:20 5fq2Zs/N
>>608
loadpolicy m
または
cat /etc/ccs/manager.conf | loadpolicy -m
です。
610:login:Penguin
07/11/27 08:36:51 Fp2ivJlT
, ' ,. '´ `ヽ、ヽ
,.' ,.' , , ヽ ゙、
〃/, , ,',' , ! |l | l ', ゙., ',
l| { { { !l ! lll | ! ! }l ! !
!{ | l l _r┴‐'ュ___|l! |___,','L.__ l| | |
. | '.,| ,' ヲ, ''二.ヽ.|┐ '""゙゙゙゙゙゙'''`ー/ノ!
| ,-',{l|{ (○) }| | _........._ ,',' l
| {(゙,_ミヽ 二ノ | | ,;===:.、 ,' )} l
! 〉'´,r゙|r ‐‐┐| |、 ,' .ノ !
| / /, ┴‐‐ュ'゙┘!‐‐; ,'l´ !
! | '´ ,.ィエ._| ̄l|ー' ィ | !
,' ! '" _,-r:イ r:、l_...、 - i ´ l | ',
,' ,'゙、 r| ゙、'; ゙、ヽ、`ヽ、./`\ | ! ゙、
/ /゙、 ヽ、 { { ヾ、 `'┘ ゙i、 ノ ヾ、.', ':,
. / /,-|\ `゙ヾヽ、 ノ^{'" //ヽ、 ':,
611:login:Penguin
07/11/28 23:31:11 mC4LQURi
最近の selinux-users 見てると TOMOYO のほうが断然いいんじゃないかと思えてきた。
SELinux の雑誌連載読んだり、英語記事読んだりして頭を悩ませたあの苦労は一体なんだったんだ
612:login:Penguin
07/11/29 00:20:45 VA2JqiNB
SELinuxはすぐにOFFが基本
613:デムパゆんゆん
07/11/29 00:24:34 4QZMaE+W
SE Linuxでカーネルのセキュリチーのたたき台が出来たし
市場としてもこれからでね?
SE Linuxはpostgresqlのロール権限みたいなもんだと
SD2004年10月号読んでヲレヲレ学習した
日本版SOXとな コンプライアンスとな
セキュリチー面倒だと 二律背反な現世でつ
と言う事で、ルータは気楽にふりBSDにしまつw
ごめんあさい ごめんあさいwww
614:login:Penguin
07/11/29 09:07:31 BI7MDb56
NSA作 頑丈にしてみた
615:login:Penguin
07/11/29 10:01:42 7JijcZKv
>>612
SELinux の中の人達はこういうユーザの現状を認識してんのかな?
ユーザのこと考えずに理論だけでやってる気がするよ。
616:login:Penguin
07/11/29 11:30:47 GXCy7vaZ
SELinuxは生半可なユーザは対象外
生半可な人達はこういうことを認識してんのかな?
617:login:Penguin
07/11/29 11:38:10 ZTQjLxRL
↑これはある意味正しいね
SELinuxはアメリカ政府、軍事を守るための技術
使いやすさを優先してたら生命の危機に関わる
618:login:Penguin
07/11/29 15:06:57 mGzdZ1hQ
正論すぎて泣いた
619:login:Penguin ◆XkB4aFXBWg
07/11/29 18:25:04 uxwmlobe
PacSec終わりますた。
URLリンク(lists.sourceforge.jp)
620:login:Penguin ◆XkB4aFXBWg
07/11/29 18:29:03 uxwmlobe
>>610
「名前」で騒ぐ人は多いのですが、"TOMOYO"である意味がわかっている人は
少なくて、それをいつも残念に思っていました。
621:login:Penguin
07/12/01 10:37:59 EHGz1Vat
>>620
TOMITAKE Linux
でもいいってことだよ
622:login:Penguin
07/12/01 13:21:22 alin/Y65
批判じゃないです。
古典文学(古典SFや古典ファンタジーを含む)からの引用は容易に受け入れられています。
なぜか。
近代文学からの引用というのは、敬遠されガチな気がします。
なぜか。
さらに近代のテレビ番組とジャンルが偏っていくと
その傾向が強くなるのではないでしょうか。
印象が強いものより無味無臭に近いものが無難という
ただの偏見だと思いますが、根強い擦り込みがあるのでしょうね。
それを気に止めないのは頼もしいと思います。
それがマーケティング的にプラスになるのかマイナスになるのか
ハラハラしつつ見守る無駄に小心者な部外者がわたしです。
便利なものに仕上ればいいなぁと思っているからこそ。
623:login:Penguin
07/12/01 13:40:07 EHGz1Vat
古典SFっていつごろを指すの?
ウェルズくらいまで? クラークとかは近代扱いでおk?
624:login:Penguin
07/12/01 14:32:18 alin/Y65
>>621-623
~~~~~~~~~~~
↑こういうのを無視して技術的な話を続けてください。
相手の思うつぼなので。
ノシ
625:login:Penguin
07/12/01 17:09:32 EHGz1Vat
>>624
振ってきたのは>>620だろ・・・
626:login:Penguin ◆XkB4aFXBWg
07/12/01 18:04:23 YI4Lfj9H
スマソ
627:デムパゆんゆん
07/12/01 23:35:19 qc41z5Cq
怒られたw
628:login:Penguin
07/12/05 11:15:17 CA9y6kMb
ほえー
629:login:Penguin
07/12/05 20:54:48 Nsoz8sT6
1.5.2が出ているね。
いつも通りVineで無事再構築終了。
自分の環境に今回の修正はあんまり影響なさそうだったけど気分的に常に最新版を(→これで他の事でもよく地雷踏んでるが)。
マイナーアップみたいなので左程問題が発生するとは思えないですが、取りあえずリリースされたらされたで公式ページにその情報は出して欲しいなぁ…と少々希望。
ところで…/usr/sbinにもccsツールが入るようになっているようですが何か事情があったのでしょうか。
630:login:Penguin ◆XkB4aFXBWg
07/12/05 23:23:47 /OndcmTF
>>629
リリースについては、歴史的な経緯により以下の順で行っています。
1. tomoyo-users mlへの投稿 by 熊猫
2a. はてなキーワードへの追加 by 中野
2b. SourceForge.jpのプロジェクトニュースへの掲載 by 中野
3. LXRの更新 by 中野
もっとも早く、もっとも情報量が多いのが1で、2aや2bは1の内容を
それぞれの場に適したものに編集してから掲載しており、2bを先に書いて
2aではそれをポイントしていることがありますが、そのあたりは
やはり1の内容によりその都度判断しています。1を熊猫さんが行っているのは、
「より詳しい情報をロスなく早く提供する」という考え方と理解下さい。
ということでちょっと他のプロジェクトとは違うかもしれませんが、
ユーザや開発者の方には是非tomoyo-usersを購読いただきたいと思っています。
mlの過去のアーカイブを見ると1について、午前0時に行われていることが
わかりますが、これは社内リリース手続きの完了を待って行って
いたためです。ターボさんでの採用やディストロ対応を行ってくださる方の
ために上記に加えて事前予告を始めました。
631:login:Penguin
07/12/05 23:39:23 1q9gnTlu
>>630
何故 devel へは告知しないの?
632:login:Penguin ◆XkB4aFXBWg
07/12/05 23:40:32 /OndcmTF
>>631
プロジェクトの中では「develの人はusersは読んでいる」と思っているからです。
633:login:Penguin ◆XkB4aFXBWg
07/12/06 00:03:46 WbWUOs9u
>>629
今回のリリースで、/usr/sbin/の下にシンボリックリンクを置くことにしたきっかけは
/usr/lib/ccs/の下に実行可能ファイルを置くのはtomoyo-devで
FHS (Filesystem Hierarchy Standard)として好ましくないという指摘が
あったことがきっかけです。
これから全く新規に提供するものであれば最初からFHS準拠にするのですが、
/usr/lib/ccsの下に置かれたファイルの場所を変更するとmanager.confや
既存のポリシーに影響してしまうため、このような形態を選択しました。
真の解決ではないので、どこかのタイミングで整理したいと思っています。
また、オンラインマニュアル作成の際にSELinuxとのコマンド名重複が
発見されたので/usr/sbin/配下ではccs-という接頭辞を追加しました。
634:デムパゆんゆん
07/12/08 21:54:36 sHGmKago
init_policy.shもう一度やり直すとき、
/etc/ccs以下を削除すればいいニカ?
ISP全面規制だ
アイゴー
635:login:Penguin
07/12/09 00:07:15 fw91IWD0
/etc/ccsをバックアップ取って実行してみるニダ。
大丈夫なはずだが駄目だったら時空太閤HIODEHOSHIのせいにすれば良いニダ。
/etc/ccs/profile.confを弄っているなら…
xargs -0 setlevel < /etc/ccs/profile.conf
をしておいた方が良いニカ?
636:login:Penguin
07/12/09 03:26:02 awIRvzBx
いつのまにこんなに盛況なスレに!
で、メインラインに入ったんですか?
忙しくて今年一杯は何もできない者より
637:デムパゆんゆん
07/12/09 11:51:49 mvxahewm
>>635
時は遅し アイゴ~
rm -rf /etc/ccs
www
less init=policy.sh したら
最後の数行でディレクトリ掘ってたからとりあえずフォルダ削除したニダよ
やっとfedora 8で動いた あぁ感無量
selinuxと共存させているがインスコが面倒過ぎる以外は特になんもない
seeditでポリシをさわってニヤニヤ tail /var/log/tomoyo/reject_log.txtみてニヤニヤ
FreeBSDでルータの話はどうなったか・・・。
7.0BETA3はインスコできなかった BETA4で試す気力がない
そんなわけで、いぢけて犬に戻ってきたでがんす ワン
638:login:Penguin
07/12/10 01:08:30 XfaDvWiE
>>637
FreeBSD7.xでルータ化ニカ?
素直に6.3出るのを待って6Stableで使った方が良さ気ニダ(5系統は微妙)。
TOMOYO BSDでも出れば使いたいニダ。
それにしてもSDにあったSSHログイン時の小技は良いニダよ。
/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上でログイン後に認証取らないとなーんにもできないようにしてやったニダ。
個人鯖なら認証の回数はやりたい放題なのが気に入ったニダ。
外部野ざらしは怖い怖い。
639:デムパゆんゆん
07/12/10 11:09:53 weSbgjCG
>>638
もぱようござる
フリBSD7.0のzfs使ってみたかったニダよ
最初からzfsぢゃないんだな(泣 新しいのでないとイヤダイヤダ
address eth0とかtun0とかinterfaceで指定出来ないかのぅ?
wanだとダイナミックDNSとか使ったときアドレス変わるから繋がらなくなりそうな
オカン時々僕とオトン こういう使い方がよくないのかしらん
setprofile -r 3 "<kernel>"selinuxもenforceにすると強烈でつ
シャットダウンできましぇんwww
ファイルシステム ”/”以下全部制御したい気分
>/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上で
>ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
保護するの/usr/sbin/sshdだけでいいニカ?
接続はwan→lan lan→lanへ別の端末?
wanからのsshはやっぱりポートを開けねばならぬのぅ
VPNにしてwan0に仮想的にプライベートアドレスを割り当てられるのだらうか
sshの小ネタ集 SDのバックナンバー買ってくる ムムム
CTUみたく衛星回線でスクランブル発信で自動的にポートが開けられるとか フフフ
640:login:Penguin
07/12/10 22:09:35 XfaDvWiE
>>639
SSH小ネタ集…というか、ログインセッションネタはSDの10と11月号ニダ。
けっしてウリはSD編集部の回し者ではないニダ。
ちなみにウリの環境は[WAN側]-[ルータ]-[LAN配下のPC]ニダ
ssh踏み台用サーバとMailとWeb用のサーバがあるけどMailとWeb鯖のsshポートは/usr/sbin/sshを固めた踏み台用PCしかログインできないようにしているでつ。
MailとWebもTOMOYOで固めているでつが、今のところ不都合なく半年以上またーりと運用できているニダ。
楽を覚えてしまうと他の事を覚えるのが面倒になってしまうのはきっと日帝の陰謀ニダ!
641:login:Penguin ◆XkB4aFXBWg
07/12/10 23:36:14 lunSW/hp
明日、SDの編集さんと会うニダ。
来年の連載をどうするか話し合うニダ。
月刊誌の連載はつらいものがあるので、役に立たないなら遠慮したかったりするニダ。
意見、希望、コメント、その他あれば参考にするニダ。
ニダって何のことかわからないニダ。
642:login:Penguin ◆XkB4aFXBWg
07/12/10 23:41:48 lunSW/hp
>>636
メインラインにはいってたらここにも報告しているニダ。
Smackはmmツリーに入ったけれど、パス名ベースの
AAとTOMOYOは「よくわからない状態」になってしまっているニダ。
SELinuxチームにはいじめられなくなったけれど、
押してくれる人もいないし、誰が決めるかよくわからない変な状態ニダ。
LSMの見直しとか議論が始まってさらに謎は謎を呼んでいるニダ。
この状況を打開し、巨大な陰○と戦うべく近日再び動くニダ。
643:login:Penguin ◆XkB4aFXBWg
07/12/10 23:47:11 lunSW/hp
URLリンク(packages.debian.org)
> 新しいパッケージポリシー対応作業などもするので、アップデートは
> もう少し後になります。
とのこと。感謝感謝。(_ _)
644:login:Penguin ◆XkB4aFXBWg
07/12/10 23:53:56 lunSW/hp
11/29でPacSecで講演しました。資料は既にSF.jpで公開しています。
はてなからたどるのが簡単ニダ。
URLリンク(d.hatena.ne.jp)
12/12にThinkITにレポートが掲載されます。
次のTOMOYO的なイベントは、1月末のITexpoでの展示です。
ネットワークセキュリティExpert 7も発売になったようです。
日経Linux最新号では、CELFの方によるメインライン特集ありなのでそちらも要チェック。
URLリンク(itpro.nikkeibp.co.jp)
645:デムパゆんゆん
07/12/11 00:04:38 3zCF9GCJ
>>640
ややこしいことしてまつね
同じ構成どこかの記事になってたような
探してみるか。
URLリンク(www.tamanegiya.com)
SDの連載毎回担当決めて持ち回りでやるのふぁ?
一人にかかる負担が減るとオモ
ちょっと前LKMLざっと見た印象
ずっと熊猫せんせ~とLSM担当のトロンドせんせ~が平行線な感じ
URLリンク(lkml.org)
LKML読んでselinuxのステファンだったか
そもそもLSMがあんまり気に入らないみたいな印象だった
LSMつかってセキュリチーモヂュール作ってるのヲレらだけぢゃん?みたいな
ぢゃぁLSM仕様変えるとか、そもそもいらんのちゃう?と遠回しに言っているような気がした。
言い方が悪くlinuxを支配しようとするNSAの陰謀だ!!!みたくなって
つーかトロンドタンも相当偏屈だw 他の人にもイラネの一言だ ウーム
646:login:Penguin ◆XkB4aFXBWg
07/12/11 00:05:05 lunSW/hp
12/21のCELF Jamboreeは要チェック。
URLリンク(tree.celinuxforum.org)
647:login:Penguin ◆XkB4aFXBWg
07/12/12 08:20:35 AFvxJNeo
>>635
>xargs -0 setlevel < /etc/ccs/profile.conf
1.5.x なら
loadpolicy p
または
cat /etc/ccs/profile.conf | loadpolicy -p
でもOK。( p は profile.conf の p 、 m は manager.conf の m ね。)
setlevel は loadpolicy で代用可能、 setprofile は editpolicy で代用可能。
648:login:Penguin ◆XkB4aFXBWg
07/12/12 08:21:11 AFvxJNeo
>>638
>ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
この手法はシェルを起動する場合にのみ適用可能な点に注意してくださいね。
ポート転送の場合にはシェルを起動する必要がないので、
MAC_FOR_NETWORK も併用して制限してやらないと
自由に ssh -L や ssh -R によるアクセスができてしまいます。
649:login:Penguin ◆XkB4aFXBWg
07/12/12 08:21:41 AFvxJNeo
>>639
>address eth0とかtun0とかinterfaceで指定出来ないかのぅ?
インタフェースでの指定はサポートしていませんが、
address_group eth0 192.168.0.1 のような方法で exception_policy.conf に記述しておけば、
allow_network TCP bind @eth0 22 みたいに domain_policy.conf で指定できます。
あとは、IPアドレスが変化したら address_group eth0 を更新するスクリプトを走らせば
動的に変化しても対処でき・・・るかな?スクリプトの内容は
echo address_group eth0 新しいアドレス | loadpolicy -e
echo delete address_group eth0 古いアドレス | loadpolicy -e
てな調子です。
650:デムパゆんゆん
07/12/12 20:49:24 1GwRrgco
>>649
さんクスコ
適当にグループ名つけて分けられるんだにゃ
iptableみたいだ
マニュアル読んでて混乱してきた ウーム
メモ代わりにブログでも書くか
>ニダって何のことかわからないニダ。
朝鮮語の皮肉
文末に~ニダ ~ニカ? 感嘆詞 アイゴ~ とかetc
ちなみにセキュリティーexpoert part7読んだ ウム
651:デムパゆんゆん
07/12/12 21:07:08 1GwRrgco
忘れてた
来年のSD連載どうなるでつか?
とりあえず今年の1-12月号が聖典に~
御布施するぞお伏せするぞ
だんだん特アすれみたくなってきたな まともな人間モードにしよう
652:login:Penguin ◆XkB4aFXBWg
07/12/12 22:02:12 sQVncvfj
>>648
あ、言い忘れました。
MAC_FOR_NETWORK を使わずとも OpenSSH の設定( /etc/ssh/sshd_config )で
ユーザ名やグループ名に基づくポート転送の制限を行うことが可能です。
詳細は URLリンク(www.oreilly.co.jp) の本に書かれています。
TOMOYO でも allow_network TCP connect 192.168.1.1 80 if task.uid=1000-2000 のように
ユーザIDやグループIDに基づくアクセス制限をサポートしています。
653:login:Penguin ◆XkB4aFXBWg
07/12/12 22:03:26 sQVncvfj
URLリンク(www.thinkit.co.jp)
インプレスIT、やばい会社だ。
654:login:Penguin ◆XkB4aFXBWg
07/12/12 22:06:26 sQVncvfj
>>651
昨日、編集さんと打ち合わせますた。
来年も6回くらいの連載を書く方向で検討します。
8ページで、記事は6ページ、残りの2ページはプロジェクトのニュース、
という提案をいただきますた。
以前も書きましたが、「中の人」だけじゃなくて、この板を含めた
ユーザと一緒に執筆してみたいと思っています。丸投げではなく、
一緒に書くというイメージです。興味ある人があれば連絡ください。
655:login:Penguin
07/12/12 23:15:12 1hor2Jgk
>>652
ふむふむ。
普段ほとんど(自分の環境では)ポート転送使っていないので頭から完全に抜け落ちておりましたですたい。
色々試してみますが、選択肢があることはよいことですね。
試して楽な方を選ぶことができるので。
656:login:Penguin
07/12/13 00:59:17 o8kOiAbC
せんせーは、ばりばり英語が書けてすごい…。
というか、著名な開発者の方々は皆書けるんですよね…。
おれもこの前英語圏のプロジェクトにバグ修正
ってか機能追加の提案したけど一向に返事が来ない…
あまりにひどい英語だったから無視されちゃったのかなぁ (´・ω・`)
657:login:Penguin ◆XkB4aFXBWg
07/12/13 01:28:19 B3Y4lHaA
>>656
LKMLのTOMOYOのスレッドをたどるとわかりますが、
返事をもらえてないのは日常茶飯事です。返事をもらえなくて困るのは、
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
話すときも書くときも「これで良いのか?」を考えすぎると
何もできなくなるし、気持ちが委縮して、かえって伝わりにくくなります。
日本にきた外国人の人が片言でも言いたいことがわかるのと同じで、
「伝えたい」という気持ちをもっていれば、伝わります。
オタワでは母国語が英語でない人もたくさんいて、その人達の言葉は
やっぱりわかりにくかったのですが、でもそれでいいんです。
658:login:Penguin ◆XkB4aFXBWg
07/12/13 01:29:41 B3Y4lHaA
>>657 行が抜けてしまいますた
返事をもらえなくて困るのは、もらえない理由や、読んでくれたかが
わからないことです。また、メールで困るのは
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
659:デムパゆんゆん
07/12/13 09:53:54 Wths6Dev
もぱようございます
インプレス グローバルな時代にあわせろかぁ。w
読むのにも1週間かかる ウーム
誤字脱字はにちゃんねるの文化 これでいいのだ
660:login:Penguin
07/12/13 14:06:23 CV+mmHd8
CLANNADの智代かと思った
なんつってジョークだよ許してよ
661:デムパゆんゆん
07/12/15 03:27:09 gceWszq3
ソウルで零戦に乗って、韓国国会前で着陸したら許してもらえるかもニダ
最近思うのはつっこむとselinuxと余り変わらない気がするなぁ
/home 以下ユーザでログインできない あぁ無情
gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
パッチ出たのが一昨日だっw
ともよタンそんなに困らさないででよん
662:login:Penguin ◆XkB4aFXBWg
07/12/15 10:24:51 h9rQF8ZE
>>661
もうちょっと詳しい情報キボンヌ
663:デムパゆんゆん
07/12/15 15:52:47 gceWszq3
上官殿ッ!!! 報告するであります
鳥はF8 initは5が前提
selinuxはenforce TOMOYOは setprofile -r 0,1,2,3 <kernel>
/home 以下ユーザでログインしたら
gdm-binary[2660]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
こんなメッセージが出る
selinuxがpermissiveだとログインできる
起動時/etc/X11/xinit/Xsessionの直前で/tmpにアクセスがあり
TOMOYO-WARNING: Access 'create /tmp/.gdmOOKP2T' denied for /usr/sbin/gdm-binary
TOMOYOが プロファイル1の時でも/tmp以下は学習はするものの
制御してるのかと思い /tmp以下全部許可にしたりした
selinuxで/usr/sbin/gdm-binaryのアクセス権限がだめなのかと思い
現在ググル先生にご意見拝謁賜っておりまつ
続く
664:デムパゆんゆん
07/12/15 16:12:09 gceWszq3
>gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
>パッチ出たのが一昨日だっw
勘違いだった リプライの日付でつた selinuxも関係なさそうだあぁ無情
URLリンク(bugzilla.redhat.com)
怒らないで ともよタン
鳥が鳥だけにメンテナも七転びバットウ
URLリンク(lists.linuxcoding.com)
バグ再発
このまま茨の道を歩き続けるかselinuxをpermissiveにするか
localhost acpid: client connected from 2066[68:68]
localhost ccs-auditd: Started.
localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found
localhost pcscd:last message repeated 3 times
localhost acpid: client connected from 2168[0:0]
localhost gdm-binary[2198]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
localhost gdm-binary[2212]: Gtk-WARNING: Ignoring the separator setting
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2213]: Gtk-WARNING: Ignoring the separator setting
こんな感じ ばぐ太なのか権限が足りないのかウーム
続く
665:login:Penguin
07/12/15 16:15:33 1GRMYg0A
┌─‐‐─┐ みなさんは2ちゃんねるの初心者ですか?書き込む前に
|_____________| SG(セキュリティー・ガード)に登録しないと自作自演がバレてしまいますよ。
='========='== SGに登録せずに書き込んだ場合、あなたのパソコン内の
/ \ /│ 情報は他人に見られていると考えてほぼ間違いないでしょう。
┌|-(・)-(・)-|┐ 自作自演がばれる方の多くはこの登録を怠っています。
└| 〇 .|┘ 初期の頃から2ちゃんねるにいる方達は、ほとんどの方が
| ___ |||||__ | このBBSのコマンドの仕組みを知っています。ですから簡単に
| \__/ | あなたのIPアドレス等を抜き取り自作自演を見破ってしまいます。
| ||||| | このコマンドの方法は決して教えないというのが初期の頃から
2ちゃんねるにいる方達の間で暗黙の了解となっていましたが、
あまりの被害の多さに心を痛めた私はあえて公開することにしました。
SGしておけばまず抜かれるコマンド自体が無効になってしまうのでどんなにスキルが
ある人でもIPアドレスを抜くことが不可能になります。SGに登録する方法は、
名前欄に「 fusianasan 」と入れて書き込みする。これだけでSGの登録は完了します。
一度登録すれば、Cokkieの設定をOFFにしない限り継続されます。
fusianasanは、正式にはフュージャネイザン、又はフュジャネイザンと読みます。
元々はアメリカの学生達の間で、チャットの時にセキュリティを強化する為に
開発されたシステムです。これを行うことにより同一人物が書き込んでいるか
どうか判別する手段が遮断されるので安心です。ぜひ書き込む前には
名前蘭にfusianasanと入力してください。自分の身は自分で守りましょう
666:デムパゆんゆん
07/12/15 16:29:35 gceWszq3
あとはTOMOYOでこんなログが
localhost kernel: TOMOYO-WARNING: Domain '<kernel> /sbin/init /etc/X11/prefdm /usr/sbin/gdm
/usr/sbin/gdm-binary /etc/X11/xinit/Xsession /bin/bash /usr/bin/ssh-agent /usr/bin/dbus-launch
/etc/X11/xinit/Xclients /usr/bin/gnome-session /usr/bin/gnome-panel
/usr/bin/gnome-terminal /bin/bash /usr/bin/yum'
has so many ACLs to hold. Stopped learning mode.
selinuxとTOMOYO両方使いたいのぅ 気分的に使うIDS減るオカン 運用は地獄でつ
上官殿!!! 不本意な成績で申し訳ありません 自分の不遜にあります
以上、台湾航空隊第二攻撃隊のラバウル航空戦の戦績を報告するでありますっ!!!
667:login:Penguin ◆XkB4aFXBWg
07/12/15 17:42:10 h9rQF8ZE
Q. 結局のところ何が問題か説明せよ(長すぎてわからないぞ)
Q. 「問題」は(a) SELinuxの問題、(b) TOMOYO Linuxの問題、(c) 切り分けできていないのどれになるか?
(TOMOYOに関係なく発生するならまずselinux-usersに質問するのが吉だ)
668:デムパゆんゆん
07/12/15 18:55:14 gceWszq3
A、(a) SELinuxの問題
ウリはネタ投下のつもりでやってるニダよ
ネタにならないなら投下しないニダ
うわぁ~ん
669:login:Penguin ◆XkB4aFXBWg
07/12/15 19:42:50 h9rQF8ZE
>>668
ネタ投下ですか。それは失礼しますた。ネタは自由に投下ください。
TOMOYOの話題限定でなくても良いのですが、早く解決するには
SELinuxのほうに聞いたらと思ったのでした。
yumは特別な事情というか理由がなければ学習させなければ
良いと思います。(でもこれもネタか?)
670:login:Penguin
07/12/26 01:38:13 r4ypI5fU
Vineが4.2へ。
一応Kernelが2.6.16-0vl76.27に切り替わっているけど既存の2.6.16-0vl76.3用パッチファイルで問題なくTOMOYO仕込んで再構築完了。
まぁ…マイナーアップなのである意味当然な結果になりましたが…。
671:login:Penguin ◆XkB4aFXBWg
07/12/27 07:40:40 SXWTylVx
TOMOYO Linuxのディストリビューション対応状況2007.12.25版です。
URLリンク(lists.sourceforge.jp)
添付されていたExcelをGoogle Spreadsheetsで公開してみました。
URLリンク(spreadsheets.google.com)
672:login:Penguin
07/12/28 01:37:38 tdQ5au30
ccs-toolsをコンパイルするにあたり、必須な物って何がありますか?
当方Debian(Etch/Lenny)を使っているのですが、make中に大量のWarningを吐き出してしまいます。
一応、Errorは吐き出さないので成功…なのかもしれませんが、ちと気になります。
以前までVinelinux4.1を使っていたのですが、その時はWarningは吐かなかったので…。
make -C ccstools/ all
make: Entering directory `/root/ccstools'
gcc -Wall -O2 -o ccstools ccstools.src/*.c -lncurses -DCOLOR_ON
ccstools.src/ccstools.c: In function 'IsDomainDef':
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of '__builtin_strcmp' differ in signedness
(中略)
timeauth.c:272: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
timeauth.c:274: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
gcc -Wall -O2 -o falsh falsh.c -lncurses -lreadline
make: Leaving directory `/root/ccstools'
Debian自体は最小構成でインストールしているのでほとんど余計(必須)な物が入っておりません。
取りあえず
make
libncurses5-dev
libreadline5-dev
は入れております。
673:LiveCDの中の人
07/12/29 03:31:21 i64ao+JI
>>672
結論から言うと、このwarningは無害です。
警告を消すには、Makefileの35行目のコメントアウトを解除して、
37行目をコメントアウトしてください。
Vineで出ずにEtch/Lennyで出る、というのは、
Vineのgccが、この警告を表示するオプションno-pointer-signが
まだ実装されていないバージョンのためです。
TOMOYOの内部では文字列をunsigned charポインタで表現していますが、
strlenなどの関数が受け取り方がただのcharポインタであることが原因です。
674:login:Penguin
07/12/29 09:11:51 S76xHoyg
>>673
文字コードに依存した処理(文字コードに子息演算とか)をしなければ、charで事足りると思うのですが、
敢えてucharな理由はなんですか?
675:login:Penguin
07/12/29 15:07:37 hCsJ400H
>>674
TOMOYO ではエンコーディングは考慮しません。
全ての文字列を ASCII printable な文字だけで構成します。
そのため、 ASCII printable ではない範囲のバイト
( 0x01 ~ 0x20 および 0x7F ~ 0xFF )については
\ooo という8進数で表記します。
この4バイトで表記される8進数データと1バイトで表記されるバイナリデータとを
相互変換する際にビット演算が必要になるので、毎度 signed か unsigned かを
考慮するのが面倒という理由から、最初から unsigned で扱うようにしています。
また、 ASCII printable でないことを検査する際に
1 以上 32 以下または 127 以上 255 以下と表記する方が
-128 以上 -1 以下または 1 以上 32 以下または 127 と表記するよりも
理解しやすいと考えています。
技術的には必要に応じて unsigned char にキャストすれば可能です。
676:login:Penguin
07/12/30 00:52:55 ekUClILt
>>673
Thxです。
677:login:Penguin
07/12/30 04:09:27 LWrRAHuk
英語と日本語で両方ある場合は、相互に対応するページ、最低トップには
リンク貼っといた方が良いかもです。
検索とかで飛んできた人もいるので。
678:login:Penguin
08/01/07 12:00:43 6LLk5psJ
CONFIG_XXXX
のXXXXは機能を意味する英語であって、コードネームであっては
ならんと思うんだが、どうよ?
679:login:Penguin
08/01/07 20:00:13 /JVv+gmI
そいや今更だけどDebian LinnyのパッケージにTOMOYOタンが入っているね。
ただDebianのポリシーそのままに行くと1.5.x→1.6.xとかの変更が推奨されたときもパッケージに入らない気がするけどその辺りどうなんでしょ?
記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。
680:login:Penguin
08/01/07 22:35:29 kortU+/c
>>679
> 記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。
stable はそうです。
681:login:Penguin
08/01/07 22:43:32 kortU+/c
より正確に言うと stable になった場合は、基本的には security fix のみで、
それ以外は機能的に大きく問題になるような(機能しなくなるような)点に関する
修正だけが協議の上で入れられる状態です。
ま、新しいの追いかけたい人は unstable 使うでしょうからあまり気にすることも
ないでしょう。
682:login:Penguin
08/01/17 05:20:31 V/IoaRhx
なんだ、まだNAGATO linuxに改名してないのかよ
683:login:Penguin
08/01/17 08:22:12 SV+g1jpN
>>682
アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ?
そんだけではアレなので。
MACに興味あるので古いPen!! BXマシンのDebian Woody(ぉぃ)な内部用自宅鯖をOS含め入れ替える序に使ってみようとプラン立ててます。
思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
運用モードである日あるアプリがエラーで落ちたときにログを書き出そうとしたりアラートプログラムを起動させようとしても事前に学習させてなければTOMOYOに妨害されるという可能性。
護るという点ではそれは正しい挙動なのだけど、なかなかポリシーを作るってのは難しいですね・・・
幸いLinuxで動かすアプリは大抵オープンソースだから追いかけるのも不可能ではないのが幸せな所かも。
TOMOYOにもSELinuxみたいな出来合いポリシーまでは行かないですが、
「Apache動かすならココ許可し忘れに注意ね。」みたいな指南があると楽なんだろうなぁとも。
684:login:Penguin
08/01/17 08:29:07 SV+g1jpN
ま、単にWindowsメインで暮らしてLinuxを少し触れるだけのプログラムやハックが趣味な人の戯言やチラシ裏と流して頂ければと。
学習モードで眺めるのがなんとなくFilemonやProcess Monitorとかと感覚的に似てそうだなぁとニヤニヤしてます。
Filemon URLリンク(technet.microsoft.com)
Process Monitor URLリンク(technet.microsoft.com)
Windowsアプリは未だにアクセス権に対してテキトーな物が多いのが悲しい事ですたい。
この間もUsersで動かすと落ちるとかいうのを調べたら権限のない場所に書き込もうとして失敗したのに次のステップを強行してぬるぽで落ちてる始末。
みんなAdministrator(root)だった頃の癖が抜けてないプログラマー(というよりSEさん)が多い様で。
Linuxアプリは歴史的に有る程度考えて組まれてるみたいですけど物によっては同じ状況もあるのかなー?
ちゃんとやってればVistaのUACもそう大騒ぎする事でもない、UAC有効で問題ない状況だったはずなのになー
あれだ、キモイパソオタでしかもドザでさーせん。風邪で脳に蛆がわいてるみたい。
就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
出席足りなくてヤバイですよ。機械の体が欲しいです切実に。螺子になるのは嫌だけど。
スルーしてちょ。ただ、TOMOYOをみんなに運用しようと思ったらポリシーを網羅するのは大変だろうなと。
TOMOYOの良いところは俺のドキュメントは俺がKDEから起動したOOoからしか読み書きさせねー、
Apacheから来たアクセスははじいちゃるなんてのがファイルシステムのアクセス権に関係な実現できそうな事ですねー
685:デムパゆんゆん
08/01/18 20:24:15 5cuexXpF
おはぎゃぁぁぁ~
>アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
>萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ?
今まではTCPmon squrd トリップワイヤ とかいろいろ使ってあれこれ試行錯誤
あれ? どうしてレスしてしまったのか
管理する人間にしてみればTOMOYOが出て随分楽になるのでふぁ
>思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
自分も前おんなじ様なこと書いたような気が駿河
TOMOYOタン思考停止はい神崎
apache スクリプトでTOMOYOログ監視してストポみたいなエラーでたら
携帯にメイル発信するとか
んで、SSHでリモートからあぱちぇ再起動 ウマー
そしたならば、うちに帰ってから再学習させればよかっぺ
ヲレ様って頭いい~とか自画自賛してみるが、
その昔日経コンピューターで特集やってたのを言ってみただけだwwwww
採用してた会社は遠い記憶で東京三菱うふぁじゃぁ銀行
それでふぁ失礼したいのでつが その前におちっこ
>>684
>就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
せんせ~の足にしがみついて、だた様マンセ~ ダタ様マンセ~
と、叫んでみると あら不思議 目の前にまっさらの履歴書があるわけです。
ストーカーチックでつね 名前も貞子に
あれ ディスプレイの電源が入ってる・・・・・・・。
風でなくても脳が沸いてるヲレなんですが
すかしっぺ
686:login:Penguin
08/01/18 20:37:47 l92/rN1X
>>685
結果をその場で予め決められたとおりに下すんじゃなくてデスクトップ用途で使うならアラートダイアログが出て
「ともよちゃんがさくらちゃんを着せ替えしようとしてるけど、実行してよかと?だめと? <<やー>> <ないん>後10秒...」みたいなモードがあると面白そ
687:login:Penguin
08/01/18 22:07:32 BvMIQ0O1
外部アプリケーションへのフック機能か。
セキュリティ的になんか心配な気はするけども。
688:login:Penguin
08/01/19 13:42:03 HMoPyc1e
>>682
改名はありません。
URLリンク(I-love.SAKURA.ne.jp)
>>683
ある程度ユーザが増えてくればユーザ間でのノウハウ流通が増えてくると思うのですが、
最初は難しいので、ソフトウェアの開発元さんにお願いしたいところです。
>>684
TOMOYO Linux は「情報の伝搬」(情報フロー)を監視/制限するモデルではなく
「アクセス要求の連鎖」を監視/制限するモデルですから、
Filemon や Process Monitor とかと似ているでしょうね。
>>685
/etc/crontab または専用デーモンを使って、 /var/log/tomoyo/reject_log.txt に変更が
あった場合に携帯にメールを送るということならできるでしょう。
689:login:Penguin
08/01/19 13:43:19 HMoPyc1e
>>686
何故にドイツ語?(笑)
デスクトップにダイアログを表示するプログラムは無いけれど、
ポリシーで許可されていない要求をその場で却下するのではなく
管理者の判断を仰ぐようにするモードはバージョン 1.1.1 以降で使えます。
この機能を使えば、例えば3分間を限度に管理者が応答するまで保留させるといったことも実現可能です。
管理者とポリシー違反監視デーモンの双方からアクセス可能なプライベート領域を用意できれば、
「サービスがポリシーで許可されていない振る舞いを要求」→「カーネルが要求を保留」→
「ポリシー違反監視デーモンが要求内容をプライベート領域に書き込み後、ユーザに注意喚起」→
「ユーザがプライベート領域の内容を見て諾否をその領域に返答」→
「ポリシー違反監視デーモンがその領域に書き込まれた返答を見てカーネルに伝達」→
「カーネルが返答に従って処理を行う」という流れを踏むことで
対話的にポリシー違反を処理することができます。
コンソールやターミナルからこの処理を行うのが ccs-queryd というプログラムです。
問題は、 Linux サーバだと Windows みたいに常にデスクトップ画面が使えるとは限らないので、
通知のためにメール等の手段を必要とすることと、公開Webサーバやsshのように
ファイアウォールで遮断されないサービスの手助けを借りる必要がある点ですね。
690:login:Penguin
08/01/19 23:57:04 HMoPyc1e
>>685
>>689
よくよく考えてみると、通知して保留する部分だけなら簡単なのでちょっと作ってみました。
URLリンク(svn.sourceforge.jp)
これを gcc -Wall -O3 -o ccs-notifyd ccs-notifyd.c でコンパイル後、
プロファイルの ALLOW_ENFORCE_GRACE=1 に設定した上で
ccs-notifyd 0 'mail メールアドレス' のように実行すると、
強制モードで発生した最初のポリシー違反をタイムリーに教えてくれます。
判断保留中にログインして ccs-queryd で返答するつもりなら
待ち時間を 0 ではない値( 180 秒くらいが妥当?)に設定してください。
691:login:Penguin
08/01/20 21:02:11 vK+YBZs+
>>683
>アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
バックの組織のことも考えてKOIZUMI Linuxでいいじゃん。
692:login:Penguin
08/01/21 02:40:10 XBGn53n5
智代 After Linuxつくってくれ
693:デムパゆんゆん
08/01/21 17:51:06 rFx7dDpJ
>>686
例外処理やprintfで出力出してるとこ
変えればよさそうだ。 うん
あれだな 本家にはとても入れらないだ?なので野良ビルド
どこかうp出来そうなとこはないものか、と
夜の校舎窓ガラス壊してまわった
>>690
最近BSD入れたボッチャマに犬をもう一度入れろという天のお告げでつね。
こわひのでただ今から入れなおすことを前提に
前向きな検討をしたいと重いまつ。
きになったのはgcc -03 でエラーでないでつか?
スタンダードに-02のほうがよさげな気が始末書
待ち時間 メールだとすぐには届かないかも試練
webmin hinemosみたいな統合管理ツールで監視して
電話発信でワン切り5回なんかも考えた。
駄菓子菓子、180秒とか待ち時間過ぎても
リモート接続できないとき
拒否にして 家に帰ってガリガリと修正すればいいだけか。
でわ、海に潜る
694:login:Penguin
08/01/24 22:36:43 +xCTxMjN
TOMOYO de BSDを所望しよう!
Trusted BSDは使い様が今一把握できんorz
それはさておき、1.6.xに向かってまっしぐらのようだけどポリシのパーミッション表記方法が変わると既存のポリシに影響出そうで怖いのぉ。
きちんと既存ポリシは引き継げるのじゃろか。
695:login:Penguin
08/01/25 06:42:30 S3Tv4eYT
>>694
キーワードを以下のように変更するだけなので、 1.5.x で作成したポリシーを 1.6.x で読むことができるようになっています。(逆はできません。)
1 -> allow_execute
2 -> allow_write
3 -> allow_execute と allow_write
4 -> allow_read
5 -> allow_execute と allow_read
6 -> allow_read/write
7 -> allow_execute と allow_read/write
696:login:Penguin
08/01/25 23:34:30 Y8TQ/mNy
>>695
ふむふむ、安心したとですたい。
個人的には現行のままかrwx方式の方が分かりやすい気もしますが。
697:login:Penguin ◆XkB4aFXBWg
08/02/02 23:44:31 BrD5gcHQ
>>696
私も「現行の数値表示のまま+コマンドラインオプションでrwx形式を追加」が
良いと思ったのですが、「特定の別名だけハードコーディングして
コマンドラインオプションという優遇措置を設定することには反対」という
ことになりました。
URLリンク(lists.sourceforge.jp)
1.5.3では、下記のような環境変数を定義すれば、rwx表示に変更は可能です。
(一種sedの置換のようなイメージ)
EDITPOLICY_KEYWORD_ALIAS='1=--x:2=-w-:3=-wx:4=r--:5=r-x:6=rw-:7=rwx'
698:login:Penguin
08/02/04 02:31:36 C0+qZX6D
>>697
orz
慣れれば馴染むのかなぁ。
慣れるまで大変そうだ。
せめて表記方法を選択できるようにすれば幸せ…かも。
699:login:Penguin ◆XkB4aFXBWg
08/02/04 21:47:46 pPdDQ2Yl
>>698
> 慣れるまで大変そうだ。
そうですか?(笑)
URLリンク(tomoyo.sourceforge.jp)
> せめて表記方法を選択できるようにすれば幸せ…かも。
環境変数を定義しなければなりませんが、一応選択は可能です。
700:login:Penguin ◆XkB4aFXBWg
08/02/04 23:08:56 pPdDQ2Yl
1,2...7とrwxを両方表示させてみましたが、いまいち・・・。
URLリンク(tomoyo.sourceforge.jp)
701:デムパゆんゆん
08/02/04 23:47:54 JAZlt/Xr
いまいちなんでつが、
この際ばっさり切り捨てるとか
古い仕様が良いという抵抗勢力も出ると思いマツ
そんな時は 抵抗勢力はぶっ潰す あひゃぁ
個人的には古いほうが良いような気もするんでつが
どっちでもいいや だた様万歳!!!
702:login:Penguin ◆XkB4aFXBWg
08/02/05 06:51:56 fjHymLCz
>>701
1.5.3ではポリシーの構文自体は変わっていません。
editpolicyが勝手に表示内容(見た目)を置換しているだけです。
だから1を「あひ」、2を「でつ」とかにしても良いわけでつ。
多分すでに使っている人には1,2,3...で十分なのでつが、
新しく使い始める人には、まあわかりやすいと思いマツ。
この変更が一番うれしいのは、デモの際に「4はreadで・・・」のような
説明をしなくてすむことですが、同じポリシーが環境によって
違って表示されても良いのか気になりまつ あひゃぁ
703:login:Penguin
08/02/20 18:36:49 21MYkGk0
TOMOYO の ML のアーカイブが gmane で読めるといいなぁ。
704:デムパゆんゆん
08/02/22 00:35:14 6ALFx6VR
偶然見かけたOSCトンキン2008の案内
TOMOYO独演会 登録しちゃると思ったら満員ニダ!!!www
以外だ SE Linuxと肩並べてるよ
日本はいよいよ制覇しつつあるのか
次は世界制覇でつね NSAの陰毛を打ち砕く日が来るんだなッ!!!
去年のOSC関西見たく 立ち見は駄目そうなのかしらん
事務局に聞いてみるか
10年ぶりのトンキン上京が夢と消える あぁ花の大東京
705:デムパゆんゆん
08/02/22 23:47:13 6ALFx6VR
[Tomoyo-dev 775] プログラム実行時のパラメータをチェックする機能について
[Tomoyo-dev 776] ステートフルなアクセス許可のサポートについて
なんとなく読んでみる。
allow_execute /bin/sh if exec.envp[\"HOME\"]=\"/home/\\*\"
極論を言うと/homeがシンボリックリンクなどで改ざんされいないという
性善説が大前提になるだ。
ヲレ様頭堅すぎるのかな?
ファースト Tomoyo-dev 775
プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ
/etc/ccs/exception_policy.conf以下に
iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で
書くのいかがでせうか
セカンド Tomoyo-dev 776
なんとなくわかるのでつ
CGIが増やしたプロセスの中に不正なプロセスが紛れ込んでいる
いやらしい僕ちゃんがいると 大変なことに
うーん これも頭が固すぎるのか
最近チンチン固くしてないな
あぁ せんせ~は海外逃亡中みたいでつね
お家の一大事でつ
URLリンク(itpro.nikkeibp.co.jp)
ベルギ~チョコ!!! ベルギ~チョコ!!!
706:login:Penguin
08/02/23 10:50:55 +5LIG1Ds
>>705
> 極論を言うと/homeがシンボリックリンクなどで改ざんされいないという性善説が大前提になるだ。
セキュリティ強化OSは性悪説が前提です。(カードキャプターさくらの世界に悪人はいません。)
まず、シンボリックリンクに関しては、シンボリックリンクを解決した後のパス名でチェックしますので
シンボリックリンクの影響は受けません。また、名前の変更に関しては「変更前/変更後」をセットにして、
ハードリンクの作成に関しては「リンク元/リンク先」をセットにしてチェックしますので、
「 mv /etc/shadow /tmp/shadow 」とか「 ln /etc/shadow /tmp/shadow 」のような操作を禁止できます。
よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。
> プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ
カーネルが大きくなってしまうことを心配してるのでしょうか?そうだとしたら
> /etc/ccs/exception_policy.conf以下に
> iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で
> 書くのいかがでせうか
exception_policy.conf に書いても domain_policy.conf に書いても
コードサイズの増加分は変わらないです。
domain_policy.conf に書く理由は、どのようなパラメータを許可すべきかは
ドメイン毎に異なるからです。 if 以降の条件は学習モードでは追加されませんので、
デフォルトでは 1.5.x と同様です。 /var/log/tomoyo/reject_log.txt の中から
allow_execute を見つけ出し、 if 以降の条件を追加したい場合だけ
手作業で追加してもらうことになります。
707:login:Penguin
08/02/23 10:52:12 +5LIG1Ds
>>705
> CGIが増やしたプロセスの中に不正なプロセスが紛れ込んでいる
この機能は、CGIからシェルを起動できる条件を厳しくするために使います。
Apache プロセス内で動作するCGIから /bin/sh の実行を要求されることがありますが、
「CGIによる正当な実行要求」なのか「バッファオーバーフローによる不当な実行要求」なのかを
判断する材料がありません。(どちらも Apache プロセスだからです。)
そのため、過去にどのような処理が要求されたかという情報を状態変数として保持しておくことで、
シェルの実行要求を認めるかどうかの判断材料として使えるようにするものです。
例えば 192.168.1.xxx から接続してきた場合のみ管理用コマンドの実行を
許可するといった使い方ができるようになります。
もちろん、実行時のパラメータチェックと組み合わせて使えます。
さらに、ログイン認証の強化(ケロちゃんチェック)でも使えます。
例えば /etc/fstab をオープンしてから認証プログラムを実行しないと認証が成功しないとか、
/etc/mtab を3回オープンすると次のステージに進むためのプログラムを実行できるようになるとか。
忍者屋敷化(からくり屋敷?迷路?)に一層の拍車をかけることができます。
侵入者が屋敷の玄関まで到達できても、屋敷の中には見えない障壁がいっぱいあって先へ進めない、
そんな状況を「想像」(この機能を使うことで「創造」)してください。
イベントの発生順序でアクセスを制限する TOMOYO Linux は、悪人がログインできない世界を創り出すのに最適なのです。
> あぁ せんせ~は海外逃亡中みたいでつね
インターネット常時接続環境のない場所で難儀しているようです。
708:デムパゆんゆん
08/02/24 00:10:25 /WI3c3iT
>>707
>よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。
>忍者屋敷化(からくり屋敷?迷路?)に一層の拍車をかけることができます。
TOMOYOすげーwww
SE ぃぬっくすいらねーぢゃん
つか聞く前にコード嫁言われてるみたいだなwww
うん 書く分量が多い過ぎて MLに登録してまともな文章で返信の返信するアルか
>インターネット常時接続環境のない場所で難儀しているようです。
オランダにはネカフェがたくさん
QBBからDBに乗り代えお隣のドイチェランド フランクフルトでビールとおつまみで一休み
お帰りはそのままルフトハンザ航空で安く日本へ ひゃっは~
709:login:Penguin
08/02/24 14:01:56 smfLkUYP
おい、データに居るのに贅沢だな。
710:login:Penguin
08/02/24 21:44:23 Gs5sbjyI
せんせーへ。
これだけでMLになげるのもあれなんでこちらで。
お疲れ様でした。
711:login:Penguin ◆XkB4aFXBWg
08/02/24 21:48:01 zqtmZFzW
>710
どうもありがとう。
今回は素晴らしくきつかったです。
712:login:Penguin ◆XkB4aFXBWg
08/02/24 21:50:46 zqtmZFzW
発表の直前まで作業していたので他の人の講演は聞いていないし、
チョコもワッフルも食べていませんが、明日帰国します。
今年はELCやOLSが通っていても辞退しようかな(笑)。
713:デムパゆんゆん
08/02/25 02:45:27 KB3fNQRF
せんせ~が引退宣言だ
いつもなら長文書いて発狂してるのに
辞退するとデスクが子会社にいつの間にか移っていたり
うん アレだ これはなかった事に
NSAに頼んで証拠すべて消してみる
すべてなかった事にして進む
フーッハッハッハッハ~ NSA万歳
714:login:Penguin ◆XkB4aFXBWg
08/02/25 08:44:09 lFcPbgqw
いや、採用されたら発表しますよ。(^^;
会社的には別に辞退してデスクが変わったりすることはないでしょう。
やめることより続けること、続けられる状態を維持するほうが大変です。
(もっとも続けるためにやっているわけではなく、会社にとって
プラスにしようと思っているわけですが。そのあたりは資料をながめると
感じ取ってもらえるかも)
# しかし、いつも長文書いて発狂してますかねぇ。(--;
今回の発表については、PCの故障、鞄の盗難(これがひどい話で・・・)、
ネット接続できないなどさまざまなトラブルが続きました。
それらをなんとか乗り越えて「約束した」発表を無事終えた、というのが実感です。
FOSDEM'08のパンフによると参加者は4000人以上、発表は200件以上と
ありますが、発表は勿論自分以外の日本人は見かけませんでした。
European Meetingなのに選考してもらっている以上、日本代表も同じで
恥ずかしい発表はできないし、出張費用を負担する会社にはその費用以上の
ものをもたらさなければいけないというのが「約束」の意味です。
ドラクエで言えばMP0, HP1でやっと町に着いた的な状態で、さすがに
疲れました。
ということで少し横になったので、ちょっとだけ長文でした。(笑)
でふぁ
715:login:Penguin ◆XkB4aFXBWg
08/02/25 08:56:20 lFcPbgqw
ヨーロッパのOSSのコミュニティというか取り組みの活気は非常に高くて
驚きました。「お祭り」とか「イベント」という浮いた感じはどこにもなく、
ただまじめに取り組んでいるという印象です。静かで本気なのです。
プログラムからもそれがわかると思います。
URLリンク(www.fosdem.org)
716:login:Penguin
08/02/25 19:34:50 6WW+La9G
鞄の盗難の話kwsk
717:デムパゆんゆん
08/02/25 23:52:25 KB3fNQRF
>>715
pdf読んでみた
タイトルがはっきりしててうらやましいなぁと思う。
日本のOSCに限らずなんか弊社でふぁソリューション展開云々
スポンサーの電波とかそんなのばっかりだし
エオロッパは反マイクロソフトが露骨でつ
官主導でがんがんやってるのうらやましい
実際システム構築やホスする人は地獄だとオモwww
USBメモリーとか刺したままにして
作業しながらコピー
やくそく守ったし生きて帰ってこれたから
うん アレだ結果万歳
718:login:Penguin
08/02/26 07:06:09 eMAAHckI
>>712
ワッフルはULBの自販機にあったような気がするですよ。
て既に手遅れですな。
>>714
そこまで気負わんでも。
ネットはHack labo.へいけばって言っても混んでて無理か。
>>717
あんなものと比較しちゃ失礼でつ。
719:デムパゆんゆん
08/02/26 21:10:48 75/EnCeb
>>718
ちょwwおまwwwwwwww
なんでつが、あんなものでも
時間を割いて講演する人もいる
あんなものでも10年ぶりのトンキン上京にwktkしているのにwww
行く気なくすよ べぃべ 華の都大東京
720:login:Penguin
08/02/27 01:17:58 1DvYGSv9
まあ一回行ってみりゃわかりますよ。
もっとお手軽に行ければ自腹参加するんだが…
721:デムパゆんゆん
08/03/03 21:06:19 OIAumudR
>>720
それなりに収穫あった
とりあえずSUNの中の人にゴルァ!!!出来たから万歳
しかし、人が多かった
上野で声かけられるしなぁ ホームレスと思われたみたいだ
おっかねぇ町だ
722:login:Penguin
08/03/03 23:18:59 ktQ1pfWh
INSTALL くらいいれてほしいのだ
723:デムパゆんゆん
08/03/03 23:56:45 OIAumudR
入れてやるから足開けよ
しかしTOMOYO linuxがいつのまにか鳥になっていそうな勢いだな
ツルボがTOMOYOに
あれ 家に誰か来たようだ
724:login:Penguin
08/03/04 14:51:39 UNaE2kKe
名称をtomoyoでなく、tomoyolinuxにしたのはなぜなんでしょうか?
自分は、最初ディストリかと思いました
725:login:Penguin
08/03/04 18:59:52 Xm/n3It9
ツルボって何?
726:login:Penguin ◆XkB4aFXBWg
08/03/04 23:08:43 +p3Q60Ul
>725
「ツ」「ル」「ボ」とローマ字で書いてじっと眺めているとわかるかも。
727:login:Penguin
08/03/04 23:32:55 SYO2w67u
リリースのアーカイブの構成はもう少しどうにかならないですか?
COPYING とか INSTALL とかないし…。 ./ に展開されてしまうのもちょっと…。
728:login:Penguin
08/03/05 01:23:29 TJzYPH0L
kernel の config 用の説明はもう少し簡略にしてもよくない?
SAKURA のもともとの意味とか冗長だと思う。
729:login:Penguin ◆XkB4aFXBWg
08/03/05 06:38:31 wb+X54kg
以前もここにあった書き込みを参考にしてリリース内容を変更しました。
問題点や改善の提案、意見があれば727,728のようにお知らせください。
その際できるだけ具体的なほうが助かります。
反映した場合はtomoyo-users, tomoyo-devで報告しますが、ここで提案
されたものはここにも報告します。
730:login:Penguin ◆XkB4aFXBWg
08/03/05 07:56:43 wb+X54kg
>716
記事を書き始めました。
書き上げたら掲載してもらうところをあたってみます。
731:login:Penguin
08/03/05 17:28:30 3/YYA17u
turboのことか。
732:login:Penguin
08/03/05 19:13:54 U7v281x9
tomoyoってどこで使われてるの?
使用実績とかそういうの
733:login:Penguin ◆XkB4aFXBWg
08/03/06 00:25:24 z/SzlC/D
>732
それはとても興味があることなのですが、ユーザ登録もライセンス契約も
しないで使えてしまうため実績はプロジェクト側ではわからないのです。
(tomoyoに限らず他のOSSもそうだと思います)
逆に使ってもらって報告してもらうと喜んでプロジェクトwikiとかに
掲載しちゃいます。直接ではないですが、多少関係する情報を紹介します。
URLリンク(www.nisc.go.jp)
URLリンク(sourceforge.jp)
734:デムパゆんゆん
08/03/06 00:52:20 /d7sQRDx
>>733
うっすらと防衛システムやってまつ。みたいでこわひよママン
しんぞ~が叫んでいた日本版CIAの一片をかいまみますた
こわひので潜行しまつ ブクブクブクブク
735:login:Penguin
08/03/06 18:23:28 GsCrFK3g
活動再開。
とりあえず、LKMLの整理から。
736:login:Penguin
08/03/06 21:41:53 0AVtMOE9
Ubuntu Server版 + TOMOYOのisoイメージって作成されないの?
737:login:Penguin
08/03/07 00:28:58 wy4uBxaY
TOMOYOのリリースっていろんなディストロ用のパッチが入ってるけど意味あるの?
738:login:Penguin ◆XkB4aFXBWg
08/03/07 07:10:28 c7Zdx7fz
>737
カーネルバージョンが同じでもディストロごとに使用している
カーネルソースは異なり(修正されており)、
vanillaカーネルのパッチはそのままではあたりません。
そこでコンパイル済みパッケージではなく、自分でビルドする人
URLリンク(tomoyo.sourceforge.jp)
のためにわかる範囲で各ディストロ用のパッチを提供しているわけです。
ということで答えになっていますか。
739:login:Penguin ◆XkB4aFXBWg
08/03/07 07:15:28 c7Zdx7fz
>735
復帰おめでとうございます。
LKMLはその後大きな動きはありません。セキュリティゴールを
投稿し、vfsmount部分のみを切り出して提案したというのが
主な内容ですが、それらの結果新たな動きはでていません。
LKML提案については、
URLリンク(elinux.org)
にインデックスを置いていますから利用ください。
公表はしていませんが、FOSDEM前にAppArmorの人に「合同で
OLSの投稿をしませんか?」と提案しましたが、その際
AppArmorもvfsmount部分を切り出して投稿しようとしていたことが
わかったので、「多分効果ないですよ」とコメントしました。
740:login:Penguin ◆XkB4aFXBWg
08/03/07 07:18:52 c7Zdx7fz
gentooの方がebuildを作成してくださいました。
URLリンク(ebuild.gentoo.gr.jp)
URLリンク(ebuild.gentoo.gr.jp)
各ディストロ用のパッケージ作成について協力いただける方を募集しています。
741:login:Penguin ◆XkB4aFXBWg
08/03/07 07:29:33 c7Zdx7fz
>720
OSC2008/Tokyoの講演資料、講演動画など公開されています。
はてなのキーワードから参照ください。
URLリンク(d.hatena.ne.jp)
ブースと講演にきていただいた方々ありがとうございました。
デムパ君もきていたようですが、デムパ君は現実世界では
電波を出していないので今回もプロジェクトメンバーは識別できませんでした(笑)。
742:login:Penguin
08/03/07 08:35:31 wy4uBxaY
>>738
うーむ、なんといいますか、 vanilla のパッチでも問題なくパッチがあたるも
のに対しても一つずつパッチを発行しているように見うけられるのです。
それは中の人の手間がかかりすぎるのではないかなぁ、と。
743:デムパゆんゆん再浮上
08/03/07 21:19:35 Da+wBUIs
>>742
以前自分も同じ様なこと書いたが、
まぁなんだ 糞ハードでコンパイルするとだな
時間がかかるわけで armとか アルマジロとか大変でつ
プロジェクト自体組み込み分野意識しているふいんきでつね
ちなみにパッチ当て
このedoraみたいなうpだてすると
ハングしちゃうような鳥で もぅパッチ当てイヤとか
特定のバージョンの鳥とか ありまつか?
一台空きが出そうでつ
しかしパッチ当ててreject出たら直せませんw
厳冬はw
>>741
リアル電波人間の方が多かったので存在感なかったでつ
ふと思ったのは仮にメインラインに入ったとして
その先の視点はあるのでせうか?
打倒NSA!!! 鬼畜米英を排除するニダ!!!とか
上にあったNISCでせきゅりちぃOSとして
防衛システムに耐えられるのか?とか
うん CTUみたいだ ププッピプ~
それでふぁ 再潜行 ブクブクブクブク
744:login:Penguin ◆XkB4aFXBWg
08/03/07 22:18:21 c7Zdx7fz
>743
>>その先の視点はあるのでせうか?
おととい某社で同じことを言われました。
ブクブクブクブク
745:デムパゆんゆん再浮上
08/03/11 22:35:22 CxtQ3FtA
>>744
なんとなく言ってみたのが
なんと某社でも同じ事言う人いたのですね
「上司の早く結果お出せ!」 言ってるみたいだ
ごめんよ ジャック トニーがシーズン7で復活だ
交代でつ でふぁ 潜行 ブクブクブクブク
746:login:Penguin ◆XkB4aFXBWg
08/03/11 23:24:13 zv95Uvxy
トニーが復活?そんなことアルメイダ・・・。ブクブクブクブク
ELC2008、2年連続でつ。でふぁ。ブクブクブクブク
747:login:Penguin
08/03/19 14:40:24 FJ24G3gB
linux-users に TOMOYO が原因ぽく見えるもので困ってる人がいるけど、いまいち対処がわからない。
748:login:Penguin ◆XkB4aFXBWg
08/03/19 23:20:44 x1kDdHhS
対処の前に何が起こっているのかが見えません。
"Not activating Mandatory ..."を表示しているのは、確かに
TOMOYOパッチですが、それは"/.initが存在しないからMACを有効にしないよ"
と言っているわけで、それなのにもし何かを制御しているとしたらおかしい。
何らかの理由により(そんなことないよな・・・)MACが有効になっていたと
しても、rebootなどのコマンド「だけ」が実行できなくなるような
状況(=そうしたポリシーが定義されている状態)はさらにおかしい。
/.initがないことは確認済みなので、TOMOYOは有効になっていないと
考えるのが自然で、そうすると「再起動ができない」と言っている部分を
調べてみる必要があるので質問中。
749:login:Penguin ◆XkB4aFXBWg
08/03/20 00:27:30 DeMn8tFr
>747
再起動のコマンドの実行が「拒否」されるわけではなくて、
「コマンド自体は通常に実行できるが、システムが終了しない」というのが
症状でした。原因は不明で熊猫先生はデッドロックの可能を示唆しています。
750:login:Penguin
08/03/20 09:33:38 uHEaUbK8
TOMOYO初心者ユーザです。
質問があるのですが、skypeをkdm環境から立ち上げるのccs-editpolicyで制御したとしても、
gdm環境等から立ち上げることは出来てしまうのでしょうか。
例えば、kdm環境の場合のドメインは、以下のように設定しています。
<kernel> /etc/init.d/kdm /sbin/start-stop-daemon /usr/bin/kdm
/etc/kde3/kdm/Xsession /usr/bin/ssh-agent /usr/bin/dbus-launch /bin/sh
/usr/bin/startkde /usr/bin/start_kdeinit_wrapper
/usr/bin/start_kdeinit /usr/bin/kdeinit /usr/bin/skype
しかし、startrxでXを立ち上げた場合は、以下のようなドメインは許可されてしまうのでしょうか。
<kernel> /sbin/getty /bin/login /bin/bash /usr/bin/startx
/usr/bin/xinit /bin/sh /usr/bin/ssh-agent /usr/bin/dbus-launch
/usr/bin/seahorse-agent /bin/sh /usr/bin/gnome-session
/usr/bin/gnome-panel /usr/bin/skype
751:login:Penguin ◆XkB4aFXBWg
08/03/20 11:26:54 DeMn8tFr
こんにちは。TOMOYO Linuxはデフォルトでは起動履歴が異なるものは
別ドメインとして扱います。したがって上記2つは独立なドメインなので
それぞれアクセスを定義しないといけません。
しかし、/usr/bin/skypeについて「どのように起動されていても
同じように扱いたい(1つのドメインとして扱いたい)」場合は、
initialize_domainとして登録しておくことにより、上記2つ以外を
含め、/usr/bin/skypeをひとつのドメインとして例外的に扱えます。
詳しくは、下記を参照ください(またわからなければお気軽に質問ください)。
URLリンク(tomoyo.sourceforge.jp)
752:login:Penguin ◆XkB4aFXBWg
08/03/20 11:31:11 DeMn8tFr
もうひとつのやり方は、kdmのほうで定義したポリシーを該当するgdmの
ドメインの部分にエディタで貼り付けても同じです。一度savepolicyで
保存したポリシーはプレインテキストですから、viでもemacsでも
該当する部分を見つけて複写するのは簡単です。
TOMOYOでは標準(デフォルト)の状態で、ドメインを細かく(自動的に)
定義しますから、それを支障のない範囲で統合するというのが
ポリシーのチューニングになります。それに対して、SELinuxなどでは
ドメインの定義を細かくしたければ、リファレンスポリシーを自分で
再定義して分割する形になるはずで、考え方や使い方が異なります。
753:750
08/03/20 12:29:18 uHEaUbK8
>>749
ありがとうございます。
例えば、/home/hoge/.Skype 直下にのみrwを許可する場合は、
こういう風に書けばいいのでしょうか。
--(exception_policy.conf)------------
initialize_domain /usr/bin/skype
-------------------------------------
--(domain_policy.conf)---------------
<kernel> /usr/bin/skype
/use_profile 3
6 /home/hoge/.Skype/\*
-------------------------------------
754:login:Penguin ◆XkB4aFXBWg
08/03/20 13:18:50 DeMn8tFr
>>753
initialize_domainはそれでOKです。これを記述するファイルが
exception_policy.confなのは、「ポリシーの扱いを例外的に標準とは
違うやり方」で扱うからです。
domain_policy.confですが、use_profileの前の"/"は不要(間違い)ですし、
手順としては、(1)まずinitilizeの効果を確認し、(2)そのドメインで学習させる、
(3)学習結果を見てチューニング、(4)作成したポリシーで確認を行い、
(5)最後にエンフォースです。(別にこの通りでなくても良いですが)
755:login:Penguin ◆XkB4aFXBWg
08/03/20 13:27:43 DeMn8tFr
ポリシーのチューニングについて、Software Design連載の3月号の
内容が参考になります。Wiki化されています。
URLリンク(tomoyo.sourceforge.jp)
756:750
08/03/20 14:11:56 uHEaUbK8
>>754-755
なるほど、ご教授ありがとうございます。
しかし、
- 全体のプロファイルはゆるめ(1とか2)にしておきたい
- このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい
という場合は、どのようにすればいいでしょうか。
管理者としては、学習がちゃんと出来ているかどうかの確認と、万が一制限がきつ過ぎてサービス停止を起こしてしまったとかが、不安なところなのですが(^^;A
757:login:Penguin ◆XkB4aFXBWg
08/03/20 14:29:54 DeMn8tFr
>>756
> - 全体のプロファイルはゆるめ(1とか2)にしておきたい
> - このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい
TOMOYO Linuxではドメインごとにプロファイル(動作の内容)を変更
できますから、上記は、initializeしたSkypeのドメインだけを
エンフォースにすれば(エンフォースのprofileに変更すれば)
特に難しいことなく実現できますよ。操作はeditpolicyで、ドメインを
選択して、sを押下、割り当てるプロファイルを入力するだけです。
URLリンク(tomoyo.sourceforge.jp)
「不安なところ」についてはごもっともで注意が必要なところです。
ここはひとつ熊猫先生に登場してもらいましょう。
758:login:Penguin ◆XkB4aFXBWg
08/03/20 14:38:09 DeMn8tFr
>>757
>特に難しいことなく実現できますよ。
このあたりの感覚はLiveCDで試していただくと一番わかりやすいと
思います。LiveCDは全ドメインが学習モードで起動しますから、
シェルのドメインを選んでプロファイルを強制にすると
そのシェルのドメインだけが制限されて他は自由という状態になります
(これは最近よくデモで紹介する内容です)。
URLリンク(tomoyo.sourceforge.jp)
759:750
08/03/20 15:01:20 uHEaUbK8
> 上記は、initializeしたSkypeのドメインだけを
> エンフォースにすれば(エンフォースのprofileに変更すれば)
> 特に難しいことなく実現できますよ。
なるほど!その手がありましたw。
ありがとうございます。
大変恐縮なのですが、その場合は domain_policy.conf に use_profile 3 で
設定すればいいのでしょうか。
760:login:Penguin ◆XkB4aFXBWg
08/03/20 15:18:41 DeMn8tFr
>>759
editpolicy(あるいはeditpolicy.sh)を使えば、ドメインのところに
カーソルを移動して、「s」を押すとプロンプトがでますから、
「3」のようにするとOKです。(その状態でsavepolicyを実行すると
use_profile 3なconfが保存されます。ただLiveCDは再起動すると
初期化されるのでご注意くださいw)
761:750
08/03/20 15:37:58 uHEaUbK8
>>760
なるほど、色々ありがとうございますm(__)m
762:login:Penguin ◆XkB4aFXBWg
08/03/20 15:46:01 DeMn8tFr
>>761
いえいえ、どういたしまして。(_ _)
Software Designの最新号に「TOMOYO Linuxの歩き方」という記事が
あるので、そちらも是非参考にしてください。
763:login:Penguin ◆XkB4aFXBWg
08/03/20 16:01:11 DeMn8tFr
プロファイルの変更について、LiveCDのチュートリアルを参考に紹介して
おきます。LiveCDは実験、練習に最適です。
URLリンク(tomoyo.sourceforge.jp)
764:デムパゆんゆん
08/03/20 23:34:23 f6kDCfqH
おはぎゃぁ~~~
MLのツルボネタ読んだ。
うpだてのスクリプトエラーで/.initが入ってないかとも思ったが、
リモートから進入されてないか?wという不安が頭をよぎった。
つるぼは時々わけわからんエラーでるからのぅ
何このしばいたろか?みたいな うpだてに失敗することもあった。
必要なライブラリが入ってなかったり
いつの間にか依存で一緒になくなってたり
そういやgrub.confとかにinit=/.initだっけ?
アレ書いてないと大変なことにw
誰もやってないならウリが発祥ニダ!と叫べる
linuxぶちあげたリーナスみたく 全力でオレ様仕様だな
うん OLS2008独演会一本目採用おめ
765:login:Penguin ◆XkB4aFXBWg
08/03/21 17:20:10 6zckFVut
>>764
>うん OLS2008独演会一本目採用おめ
どうもありがとう。ただ、直接TOMOYOの発表(提案)ではなく、
Linux自体の話になるため少々複雑な心境です。
プロジェクトとしてはあと熊猫先生の2件のうちの1件
(Tutorial)が現在結果待ち。発表予定は既にサイトで確認できます。
SELinuxはやはり強い。
URLリンク(www.linuxsymposium.org)
URLリンク(www.linuxsymposium.org)
URLリンク(www.linuxsymposium.org)
766:login:Penguin
08/03/22 00:17:06 I+OQFn9y
>>765
汝のあるべき姿で語りたいなw
767:login:Penguin
08/03/22 21:02:15 jTH0sfih
>>765
SELinuxはテンプレ化が進んでるからですかねぇ(と新参者ですが)。
768:login:Penguin ◆XkB4aFXBWg
08/03/23 16:59:10 wJIqMRFs
>>767
昨年と比べてSELinuxが急激に普及したり、使いやすさが大幅に改善されたとは
思えません。またELC, OLSに参加してみて、Linux自体として
特にセキュリティ強化(MAC)に関心が高いともいえない状況であることを
感じました。
そうしたことから今年はSELinuxを含め「個別の実装に関する詳細」や
「個別の機能や仕様を前提としたもの(含むチュートリアル)」は
採用されにくく、運用上の課題やその改善に関するものがメインテーマに
なると予想していました。しかし、考えてみると採択を決めるのは
選考委員会のメンバーですから、たまたま選考メンバー
(URLリンク(www.linuxsymposium.org))が
興味を持っているか事情通でなければそうした事情は考慮されなくて
普通かもしれません。
そう考えるとSELinuxを使ってみようという人は着実に増えているでしょうし、
ドキュメントやツールなども改善作業が続いていますから、
チュートリアルや(一般向けの次のステップとしての)組み込みなどの
発表が採択されるのはわかります。(長文御免)
769:デムパゆんゆん
08/03/24 21:41:30 HGnMjrSK
URLリンク(itpro.nikkeibp.co.jp)
こんなもの発見 NISC万歳
BSDのようにwheelグループに所属させないと suできないとか
ともよタンでパス管理する
ただ管理するだけでなくもう一段深く逝っちゃったみたいな
一種の仮想化だな chroot環境みたいな
wheelグループに所属したユーザtomoyoからなら/dev/sdc1が見える
普通に/dev/sdc1と打ってもそんなファイルないニダ!!!とか
リモートから /dev/sdc1のCDドライブにアクセスしても出来ない
パスの拒否と言うよりは 登録されたパスのみ許可
山田びみょーにニュアンスが違う
うん アレだ 昨日レンタルで借りたダイハードに感化されちまぅこの頃
ネットワークもだな
仮想化すると スクランブル発信の衛星電話でトニーと会話が出来ちゃうかな
攻撃は外からでなく中からも意識汁!とシーズン3で学習した
ジャックとかトニーとか なんだこの2ちゃん脳は
URLリンク(www.foxjapan.com)
シーズン1からがんばってレンタルしてみる
小春日和 更なる電波が脳内で飛散中 うむ
770:login:Penguin ◆XkB4aFXBWg
08/03/25 06:48:45 RbKuLlro
>>769
>こんなもの発見 NISC万歳
この写真は何か変です(笑)が、BitVisorは用途によっては面白い
使い方ができると思います。
>攻撃は外からでなく中からも意識汁!とシーズン3で学習した
誰にでも権限を与えるわけにはいかないが、ジャックに権限を与えないと
解決しない。与えて良い相手に与えるべきときに権限を与えることが
できるのが理想だが現実は・・・。そのように見ると24は実に味わい深いデス。
771:login:Penguin ◆XkB4aFXBWg
08/03/25 06:50:58 RbKuLlro
768と769を見て、やっぱり2ちゃんに長文は良くない(合わない)と思いました。
それはともかく、SF.jpのtomoyoプロジェクトの月間pvがついに名前騒ぎの時の
記録を更新しました。
URLリンク(sourceforge.jp)
772:login:Penguin
08/03/25 11:01:00 xBK01x+J
> それはともかく、SF.jpのtomoyoプロジェクトの月間pvがついに名前騒ぎの時の
> 記録を更新しました。
オメ
773:login:Penguin ◆XkB4aFXBWg
08/03/25 18:59:16 QRHjGLzC
>>772
ガト!
774:login:Penguin
08/03/25 21:46:58 DkOcBX+S
厨な質問なのですが、何故イニシャルドメインだけで学習って出来ないんだろう。。
フルパス(?)ドメインでなくてもいい気がするんですが。
775:login:Penguin ◆XkB4aFXBWg
08/03/25 22:56:14 RbKuLlro
>>774
<kernel> /somewhere/foo /anywhere/bar の代わりに
<kernel> foo bar で、ということですか?
776:login:Penguin
08/03/25 23:15:14 DkOcBX+S
>>775
> >>774
> <kernel> /somewhere/foo /anywhere/bar の代わりに
> <kernel> foo bar で、ということですか?
そうですね。いっそのこと、
<kernel> * /usr/bin/skype *
とかはダメ?w
777:login:Penguin ◆XkB4aFXBWg
08/03/25 23:41:35 RbKuLlro
>>776
もし、「どんな順番で起動されたかにかかわらず/usr/bin/skypeおよびそれから
起動されたプロセスをひとつのドメインとして扱いたい(ゴルァ)」という意味で
あれば、それは既に現在の仕様で対応できていますよ。(^-^)v
778:login:Penguin ◆XkB4aFXBWg
08/03/25 23:46:18 RbKuLlro
それは要素としては、
・「(起動順番にかかわらず)とにかく/usr/bin/skypeをドメインにする」
・「/usr/bin/skypeが他のプログラムを実行(exec)してもドメインを分けない」
ということですが、initialize_domain, keep_domainがそのための指定です。
URLリンク(tomoyo.sourceforge.jp)
779:login:Penguin ◆XkB4aFXBWg
08/03/26 00:01:46 RbKuLlro
もしskypeだけでなくすべてのプログラムを履歴なしにフラットに
扱いたければ、AppArmorはそのようになっています。ただ、
容易に想像できるように「すべてのプログラム」のポリシー(プロファイル)
が提供されているわけではありません。
780:login:Penguin ◆XkB4aFXBWg
08/03/26 00:11:12 gHPNZ0WQ
ドメイン遷移は図があったほうがわかりやすいですね。ということで
今日はここまで。
URLリンク(tomoyo.sourceforge.jp)
781:775
08/03/26 10:06:33 FOAtd5Rg
>>780
ありがとうございます!無事、initialize_domain設定したskypeのdomain_policyを学習させることが
出来ました。行が長いので、base64でエンコードさせて頂きました。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:775
08/03/26 10:07:14 FOAtd5Rg
(>781の続き)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783:login:Penguin
08/03/26 12:41:32 FOAtd5Rg
ちょっと思ったのですが/etc/xinet.d/* のように、
配置できると嬉しいかなぁと思いました。
素人ですが^^
/etc/ccs/domain.d/skype.conf
784:デムパゆんゆん
08/03/27 00:07:15 4Ic0r+jb
>>780
>今日はここまで。
そう言わずにもう一軒 ええ店見つけましてん。
785:login:Penguin ◆XkB4aFXBWg
08/03/27 01:27:26 GkuWGSy/
>775
ポリシー設定ありがとうございました。
開発メンバーに見てもらいましたが、特に問題なく良い設定とのコメントでした。
こうした例を公開する場所があると良いかもしれませんね。
786:login:Penguin ◆XkB4aFXBWg
08/03/27 01:35:59 GkuWGSy/
>>783
面白いアイデアと思い開発メンバーに紹介しましたが、どうも
今ひとつくいつきがよくありませんでした。
ただ、loadpolicyコマンドを使えば、ポリシーの(追加)読み込みが
できますから、skype.confのように分割されたポリシー定義を
読み込ませるようなスクリプトを書けば、現仕様のまま実現できます。
URLリンク(tomoyo.sourceforge.jp)
787:775
08/03/27 14:35:51 36/2jW14
>>785
あ、そのプロファイルは自分の暫定的なものです^^。
>>786
なるほどです。ありがとうございます。
788:login:Penguin
08/03/27 22:15:54 aUlsUaZR
インストールしましたが
全然「ほえ~」でもなければ「はにゃ~ん」でもありませんでした
なにか設定が間違っているのでしょうか??
789:login:Penguin
08/03/27 22:41:13 LLacTuUH
>>788
確かtcshをインストールしないと
790:login:Penguin
08/03/27 23:32:29 aUlsUaZR
>>789
ググってもHP見てもなんかよくわかりませんでした
kwskお願いします >< ヒントだけでも
791:login:Penguin ◆XkB4aFXBWg
08/03/27 23:46:38 GkuWGSy/
>>788
設定というよりは板が違っています(合掌)。
>>790
多分、下のようなことかな?
URLリンク(www1.linkclub.or.jp)
しかし、これはTOMOYO Linuxの機能ではないので、そこのところよろしく (--;
792:login:Penguin
08/03/28 00:21:02 Xn8XQWtD
ほえ~
なんとなくわかりました
もともとそういうのじゃなかったんですね ><
793:login:Penguin ◆XkB4aFXBWg
08/03/28 00:33:42 LvZYfaJl
>>792
まぎらわしくてすみません。(_ _)
誰も読んでいないと言われていますが、一応FAQもあります。
URLリンク(tomoyo.sourceforge.jp)
これも何かの縁ということで、良ければまた遊びにきてください。
794:login:Penguin
08/03/31 19:15:11 rAd33tqq
tcshカタログの話題はUnix板でということなのか、
CCさくら板行けということなのか、激しく迷いますな
795:login:Penguin ◆XkB4aFXBWg
08/03/31 22:47:53 QQCeYF87
>>794
>激しく迷いますな
私が2chで読んでいる板はここだけで、実は他にどんな板があるか
さっぱりわかっていません。なのでどんな板が良いというコメントはできないのです。
なお、言いたかったのは、「探しているものはここ(この板)にはありませんよ
(時間をかけて探しても見つかりませんよ)」という意味です。
796:login:Penguin ◆XkB4aFXBWg
08/04/08 22:11:01 +7lkCNUj
4/4に7度目のLKML提案を行いました。Stephenから「どういうつもりだ?」と
いう励ましのメール(私信)をもらいました。
ついにSELinux陣営あるいはNSAと決着をつけるときがきたのかもしれません。
これから戦いを始めます。
797:login:Penguin ◆XkB4aFXBWg
08/04/08 22:14:11 +7lkCNUj
TOMOYOのメインライン提案のスレッドは、
URLリンク(elinux.org)
URLリンク(tomoyo.sourceforge.jp)
あたりからたどってください。
逝ってきます。
798:デムパゆんゆん
08/04/10 03:44:28 zrE8TllQ
大本営ハピョー
硫黄島の決戦でつか
栗林中将でつね 4月4日は真珠湾の奇襲のようでもありまつ
トラトラトラでつね
中将殿に武運長久
天皇陛下万歳!!!
799:login:Penguin ◆XkB4aFXBWg
08/04/10 06:31:25 tRh1J33s
>>798
>4月4日は真珠湾の奇襲のようでもありまつ
言われてみれば確かにそうなのです。さすがデムパ君でつね。
4/9の投稿は、さりげなくこれまでの歩みをアピールしているのが
ポイントでつ。「ちゃんとやってきているからいれてほすぃ」と
せつせつと訴えていまつ。PacSecもFOSDEMも実はいつかこうして
NSAに宣戦布告をするときのための準備だったのでつ。壮大な計画で、
大石内蔵助なのでつ。この意味がわかれば、デムパ君の電波も相当でつ。
ここからは大きな失敗をしなければ勝てるはずでつ。
でふぁ
800:login:Penguin ◆XkB4aFXBWg
08/04/10 06:34:36 tRh1J33s
TOMOYO Linuxの今までの経緯をわかつて読めば、
今のLKMLのスレッドはとてつもなく面白いのでつ
(やってるほうは大変なのでつが)。
巨大な陰○との最終決戦でつ。
801:login:Penguin
08/04/10 08:48:39 MSodk0Ja
またサボってしまった(汗&謎
書き、書き、理解。
802:login:Penguin ◆XkB4aFXBWg
08/04/12 07:48:15 z8OrFnDV
4/4のLKMLへの投稿について、おそらく初めてStephenからレスが
ついていますが、その他に私信で、「なにやってるんだ?」という
内容のメールをもらいました。
LKMLでは今もStephenとのやりとりが続いていますが、彼はそれとは別に
私信でも熊猫先生に提案について意見、助言をしてくれています。
「手伝って」くれています。
4/4の投稿については、Andrew Mortonからも熊猫先生に私信が届いています。
803:デムパゆんゆん
08/04/12 10:06:32 5715pAtk
思考停止逆切れ作戦なのかマヂなのか ワロタ
大量パッチ放火
ん?
SELinuxがあるだろ常孝
LSMいらんだろ常孝
長文うぜ~
お茶飲む?
なんだよ 2ちゃん脳ばっかりぢゃないかw
今までカーネルセキュリティー全力で逃げてたしな
神様とかアランとか LSMの時も全力で後ろ向いて
ヲレ忙しいし うん ちょっとトイレとか
うん ぢゃぁ 入れる といやいや入れてた記憶がある
ポールの思考停止いいねいいね ツンデレなのか ひねくれてんのか
記憶は捏造できる フフン
804:login:Penguin
08/04/15 01:21:37 DYlit/aQ
>>799
別にその辺で喋ったからどうこうつうのはあまり関係ないと思うわけで。
その結果えらい人が興味を持って味方してくれれば別なんだけど。
# 俺が外で喋るのは入れてもらってからなんでよくわからん。
まあとりあえず今のは既存コードへの影響がでかすぎて、レビューすら
やってもらえん状態じゃないかと。
805:login:Penguin
08/04/15 01:27:21 DYlit/aQ
>>803
えらい人はそういうのに興味がない&よくわからんので関わり合いを避けたい。
というのが本音なのでつ。
なのでLSMという壁を作って、セキュリティのことは壁の向こうで話し合えや。
LKMLに持ってくるんじゃねえ。てことにしたのでつ。
806:デムパゆんゆん
08/04/15 02:16:30 gc7ozife
>>805
やるなら今しかねぇw
誰だって面倒なことしたくね~ ヲレもだ 正直面倒
>まあとりあえず今のは既存コードへの影響がでかすぎて、レビューすら
>やってもらえん状態じゃないかと。
激しく同感 返信の中にLSMの中でやってくれないかとかあったし
本体に影響しない仕様変更とか出来ないなら
LSMの仕様変更とか 結局メンテナの負担だわな
つかLSMの人がずっと思考停止w ともよ? イラネだし
807:login:Penguin
08/04/15 03:16:42 NNSBLErA
selinuxに挫折したオレ
サルでもわかるTOMOYOってどこかにない?
808:login:Penguin
08/04/16 00:02:58 aGXleYF5
>>807
TOMOYOはSE Linuxと比較したら解りやすいと思う
多分必要なのはMACやアクセス権、システムコールって何?といった知識だと思う
LiveCDで学習モードのまま眺めてればなるほどと思うかも
URLリンク(tomoyo.sourceforge.jp)
809:login:Penguin ◆XkB4aFXBWg
08/04/16 01:03:29 PeDWAeKt
>>807
ツルボから始めてみるのはどうかな?
インスコしたり試すのはツルボでなく他の鳥でもできるけれど
ツルボだと、鳥をつくっているチームとTOMOYOチームが合同で
作ったポリシー(サポート不要なら参照は無料)があるから、そこから
始めてみるには良いと思う。
URLリンク(www.turbolinux.co.jp)
810:login:Penguin ◆XkB4aFXBWg
08/04/16 01:08:15 PeDWAeKt
>>808
>LiveCDで学習モードのまま眺めてればなるほどと思うかも
確かに。先日LiveCDのポリシーをlxrにあげますた。
URLリンク(tomoyo.sourceforge.jp)
811:login:Penguin ◆XkB4aFXBWg
08/04/16 01:15:39 PeDWAeKt
隊長、報告が遅くなりまつたが、ELC2008会場に潜入しますた!
Henry Kingmanのキーノートが始まっていまつ。英語です。(笑)
今のところ敵の姿はありません。
何かあれば、どこよりも早くここで報告します。でふぁ
812:login:Penguin ◆XkB4aFXBWg
08/04/16 02:59:53 PeDWAeKt
隊長、TOMOYOセッションについて報告します。
講演用のPCが前日起動しなくなり、システムの復元を行い本番に
備えましたが、講演直前の5分前に再び不調、バックアップ機を
用意しましたが、そちらも原因不明で起動しないという
ありえないほど過酷な状況の中、なんとか本番直前に復帰、講演を完遂しますた。
参加者は約20名、主な質疑はポリシーの記法に関する内容と
初期設定を行うためのツールの有無、CPUアーキテクチャ依存でした。
813:login:Penguin ◆XkB4aFXBWg
08/04/16 06:41:01 PeDWAeKt
LWN.netのJake Edgeの講演が終わりました。
"Avoiding Web Applications Flaws in Embedded Devices"というタイトル
ですが、既に資料が公開されています(TOMOYOの名前もでてきます)。
URLリンク(lwn.net)
といっている間に、中村さんの講演が始まりました。
814:login:Penguin
08/04/16 07:00:47 aGXleYF5
おはようございます。
Jakeのプレゼン資料を見た限りでは組み込み関係なくWebApplication作成時の注意で
それに加えて組み込み系にありがちなURL固定とか認証サボりがあるから余計に注意しろよーって話みたいですねー
で、TOMOYOがあると必要としないモジュールを洗い出すのに便利っすよみたいな感じで触れたのかしら?
それともPathチェック漏れでもTOMOYOが有れば防げるかもみたいな感じかにゃ?
815:login:Penguin ◆XkB4aFXBWg
08/04/16 07:14:36 PeDWAeKt
説明的には、「こうした技術を使えば、OSレベルで被害を軽減することも
できるようだよ」というくらいの感じでした。正直言って、Jakeはあまりこのあたり(セキュアLinux)に
明るくないように見えました。
816:login:Penguin ◆XkB4aFXBWg
08/04/16 07:32:41 PeDWAeKt
中村さんの発表が終わり、まもなく海外さんの発表が始まります。
今日は初日でつが、夜にはセキュアEmbeddedのBOFもあり、一日に
集中してしまいまつた。時差がこたえまつ。中村さんの発表は、
内容はわかったのですが、もともとTOMOYOであれば実現/対応できていること
ばかりのような気がして、「何故あえて(組み込みで)SELinuxでつか?」と
いう疑問が生じてしまいます。
817:login:Penguin
08/04/16 07:44:32 aGXleYF5
>>815
まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。
組み込みじゃないWebApplicationの監査とかやってる人から見れば何を今更な話題なのかも。
悪意のあるユーザーからのリクエストを直接受け付けないから比較的安全と思われてた組み込み形も
ブラウザやらプラグインやらの穴を使ったりしたXSSやらXSRFやらで危険に晒されてるって事が重要なんですよね。多分。
実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにするとWAN側が開いて謎の裏口ID&パスで入れるようになったり(w
一応NTTのメンテナンス用IP帯からしか接続受け付けないようになってるっぽいしデフォルトOFFですが・・・
818:login:Penguin ◆XkB4aFXBWg
08/04/16 07:50:26 PeDWAeKt
>>817
>まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。
そうですね。あと、どうしてLWNの人がこの話題なのかなと思いました。
>実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにすると・・・
ルータ(英語の発音だと「ラウター」に近い)はよくやられるという
話がでていました。
海外さんの話が始まりましたが、「そもそもセキュアOSとは」とか
「Protection Profileとは」というところから始めています。(@_@; びっくり
819:login:Penguin ◆XkB4aFXBWg
08/04/16 07:58:24 PeDWAeKt
>>816
やはりTOMOYOはまだまだ知られていなくて、組み込み分野を含めて
本当はTOMOYOだとうまく解決できる場合もそれに気づいてもらえていないのか
と思います。そういった意味でもメインライン化はやはりどうしても
なしとげたいです。
会議に出る目的のひとつは、TOMOYOを含めたセキュアOSに対する「温度」を
はかることで、講演の参加者と質疑が参考情報です。今年は昨年よりは確実に
高まっていると思いますが、まだ一部の人という印象です。
820:login:Penguin ◆XkB4aFXBWg
08/04/16 08:06:02 PeDWAeKt
さきほど、LXRにversion 1.6.0を追加しました。1.6.0は1.5.3との
差分が大きいため当面は両方とも残しておきます。
URLリンク(tomoyo.sourceforge.jp)
version 2.Xは、ちょっと中途半端な状態になっているため、
帰国後整理した上で追加します。
821:login:Penguin
08/04/16 08:09:22 /Z5CkmBk
TOMOYOじゃなくてYaSELinuxとかにしたら一気に普及してたかもなw
822:login:Penguin ◆XkB4aFXBWg
08/04/16 08:16:16 PeDWAeKt
>>821
最初は失敗したと思いましたが、なんだかんだ名前が注目されたことにより、
ここまで(メインラインに挑戦できるまで)こられた部分があるように思います。
YaSELinuxだとその点、やや微妙かも。またSELinux陣営が許さないでしょうw
823:login:Penguin ◆XkB4aFXBWg
08/04/16 08:24:51 PeDWAeKt
7回目の提案のスレッドで、こんな図を投稿しています。
URLリンク(article.gmane.org)
AppArmorやTOMOYO Linuxはnamespaceの世界で処理をしていて、
VFSやLSMではinodeの世界です。残念ながらnamespaceの世界は、
その中だけでは完結せず、二つの世界をブリッジするためにvfsmountの
パラメータを渡せるようにしたいというのがoption 1ですが、VFSの
Al Viloがくせ者でウンといいません。optoin 2はそれをせずにフックを
追加「させてもらう」で、4/4の投稿はそのどちらでもなく、LSMとは別の
仕組み(フックセット)を提案した形でいろいろ怒られました。
824:login:Penguin ◆XkB4aFXBWg
08/04/16 08:30:41 PeDWAeKt
メインライン化がなかなか進展しない理由のひとつは、メンテナ間の関係が
見えないことにあると思っています。特定のモジュールに閉じた話だと
簡単ですが、このように複数に関わり、かつ発言しないメンテナがいる状態だと
どう進めるかが難しく、あちらたてればこちらたたずというか常に誰かに
反対されます。皆自分のところに自分が必要と思わない変更をしたくないからです。
# 海外さんの発表はついにPOSIX Capabilitiesのページにきました。