08/03/20 09:33:38 uHEaUbK8
TOMOYO初心者ユーザです。
質問があるのですが、skypeをkdm環境から立ち上げるのccs-editpolicyで制御したとしても、
gdm環境等から立ち上げることは出来てしまうのでしょうか。
例えば、kdm環境の場合のドメインは、以下のように設定しています。
<kernel> /etc/init.d/kdm /sbin/start-stop-daemon /usr/bin/kdm
/etc/kde3/kdm/Xsession /usr/bin/ssh-agent /usr/bin/dbus-launch /bin/sh
/usr/bin/startkde /usr/bin/start_kdeinit_wrapper
/usr/bin/start_kdeinit /usr/bin/kdeinit /usr/bin/skype
しかし、startrxでXを立ち上げた場合は、以下のようなドメインは許可されてしまうのでしょうか。
<kernel> /sbin/getty /bin/login /bin/bash /usr/bin/startx
/usr/bin/xinit /bin/sh /usr/bin/ssh-agent /usr/bin/dbus-launch
/usr/bin/seahorse-agent /bin/sh /usr/bin/gnome-session
/usr/bin/gnome-panel /usr/bin/skype
751:login:Penguin ◆XkB4aFXBWg
08/03/20 11:26:54 DeMn8tFr
こんにちは。TOMOYO Linuxはデフォルトでは起動履歴が異なるものは
別ドメインとして扱います。したがって上記2つは独立なドメインなので
それぞれアクセスを定義しないといけません。
しかし、/usr/bin/skypeについて「どのように起動されていても
同じように扱いたい(1つのドメインとして扱いたい)」場合は、
initialize_domainとして登録しておくことにより、上記2つ以外を
含め、/usr/bin/skypeをひとつのドメインとして例外的に扱えます。
詳しくは、下記を参照ください(またわからなければお気軽に質問ください)。
URLリンク(tomoyo.sourceforge.jp)
752:login:Penguin ◆XkB4aFXBWg
08/03/20 11:31:11 DeMn8tFr
もうひとつのやり方は、kdmのほうで定義したポリシーを該当するgdmの
ドメインの部分にエディタで貼り付けても同じです。一度savepolicyで
保存したポリシーはプレインテキストですから、viでもemacsでも
該当する部分を見つけて複写するのは簡単です。
TOMOYOでは標準(デフォルト)の状態で、ドメインを細かく(自動的に)
定義しますから、それを支障のない範囲で統合するというのが
ポリシーのチューニングになります。それに対して、SELinuxなどでは
ドメインの定義を細かくしたければ、リファレンスポリシーを自分で
再定義して分割する形になるはずで、考え方や使い方が異なります。
753:750
08/03/20 12:29:18 uHEaUbK8
>>749
ありがとうございます。
例えば、/home/hoge/.Skype 直下にのみrwを許可する場合は、
こういう風に書けばいいのでしょうか。
--(exception_policy.conf)------------
initialize_domain /usr/bin/skype
-------------------------------------
--(domain_policy.conf)---------------
<kernel> /usr/bin/skype
/use_profile 3
6 /home/hoge/.Skype/\*
-------------------------------------
754:login:Penguin ◆XkB4aFXBWg
08/03/20 13:18:50 DeMn8tFr
>>753
initialize_domainはそれでOKです。これを記述するファイルが
exception_policy.confなのは、「ポリシーの扱いを例外的に標準とは
違うやり方」で扱うからです。
domain_policy.confですが、use_profileの前の"/"は不要(間違い)ですし、
手順としては、(1)まずinitilizeの効果を確認し、(2)そのドメインで学習させる、
(3)学習結果を見てチューニング、(4)作成したポリシーで確認を行い、
(5)最後にエンフォースです。(別にこの通りでなくても良いですが)
755:login:Penguin ◆XkB4aFXBWg
08/03/20 13:27:43 DeMn8tFr
ポリシーのチューニングについて、Software Design連載の3月号の
内容が参考になります。Wiki化されています。
URLリンク(tomoyo.sourceforge.jp)
756:750
08/03/20 14:11:56 uHEaUbK8
>>754-755
なるほど、ご教授ありがとうございます。
しかし、
- 全体のプロファイルはゆるめ(1とか2)にしておきたい
- このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい
という場合は、どのようにすればいいでしょうか。
管理者としては、学習がちゃんと出来ているかどうかの確認と、万が一制限がきつ過ぎてサービス停止を起こしてしまったとかが、不安なところなのですが(^^;A
757:login:Penguin ◆XkB4aFXBWg
08/03/20 14:29:54 DeMn8tFr
>>756
> - 全体のプロファイルはゆるめ(1とか2)にしておきたい
> - このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい
TOMOYO Linuxではドメインごとにプロファイル(動作の内容)を変更
できますから、上記は、initializeしたSkypeのドメインだけを
エンフォースにすれば(エンフォースのprofileに変更すれば)
特に難しいことなく実現できますよ。操作はeditpolicyで、ドメインを
選択して、sを押下、割り当てるプロファイルを入力するだけです。
URLリンク(tomoyo.sourceforge.jp)
「不安なところ」についてはごもっともで注意が必要なところです。
ここはひとつ熊猫先生に登場してもらいましょう。
758:login:Penguin ◆XkB4aFXBWg
08/03/20 14:38:09 DeMn8tFr
>>757
>特に難しいことなく実現できますよ。
このあたりの感覚はLiveCDで試していただくと一番わかりやすいと
思います。LiveCDは全ドメインが学習モードで起動しますから、
シェルのドメインを選んでプロファイルを強制にすると
そのシェルのドメインだけが制限されて他は自由という状態になります
(これは最近よくデモで紹介する内容です)。
URLリンク(tomoyo.sourceforge.jp)
759:750
08/03/20 15:01:20 uHEaUbK8
> 上記は、initializeしたSkypeのドメインだけを
> エンフォースにすれば(エンフォースのprofileに変更すれば)
> 特に難しいことなく実現できますよ。
なるほど!その手がありましたw。
ありがとうございます。
大変恐縮なのですが、その場合は domain_policy.conf に use_profile 3 で
設定すればいいのでしょうか。
760:login:Penguin ◆XkB4aFXBWg
08/03/20 15:18:41 DeMn8tFr
>>759
editpolicy(あるいはeditpolicy.sh)を使えば、ドメインのところに
カーソルを移動して、「s」を押すとプロンプトがでますから、
「3」のようにするとOKです。(その状態でsavepolicyを実行すると
use_profile 3なconfが保存されます。ただLiveCDは再起動すると
初期化されるのでご注意くださいw)
761:750
08/03/20 15:37:58 uHEaUbK8
>>760
なるほど、色々ありがとうございますm(__)m
762:login:Penguin ◆XkB4aFXBWg
08/03/20 15:46:01 DeMn8tFr
>>761
いえいえ、どういたしまして。(_ _)
Software Designの最新号に「TOMOYO Linuxの歩き方」という記事が
あるので、そちらも是非参考にしてください。
763:login:Penguin ◆XkB4aFXBWg
08/03/20 16:01:11 DeMn8tFr
プロファイルの変更について、LiveCDのチュートリアルを参考に紹介して
おきます。LiveCDは実験、練習に最適です。
URLリンク(tomoyo.sourceforge.jp)
764:デムパゆんゆん
08/03/20 23:34:23 f6kDCfqH
おはぎゃぁ~~~
MLのツルボネタ読んだ。
うpだてのスクリプトエラーで/.initが入ってないかとも思ったが、
リモートから進入されてないか?wという不安が頭をよぎった。
つるぼは時々わけわからんエラーでるからのぅ
何このしばいたろか?みたいな うpだてに失敗することもあった。
必要なライブラリが入ってなかったり
いつの間にか依存で一緒になくなってたり
そういやgrub.confとかにinit=/.initだっけ?
アレ書いてないと大変なことにw
誰もやってないならウリが発祥ニダ!と叫べる
linuxぶちあげたリーナスみたく 全力でオレ様仕様だな
うん OLS2008独演会一本目採用おめ
765:login:Penguin ◆XkB4aFXBWg
08/03/21 17:20:10 6zckFVut
>>764
>うん OLS2008独演会一本目採用おめ
どうもありがとう。ただ、直接TOMOYOの発表(提案)ではなく、
Linux自体の話になるため少々複雑な心境です。
プロジェクトとしてはあと熊猫先生の2件のうちの1件
(Tutorial)が現在結果待ち。発表予定は既にサイトで確認できます。
SELinuxはやはり強い。
URLリンク(www.linuxsymposium.org)
URLリンク(www.linuxsymposium.org)
URLリンク(www.linuxsymposium.org)
766:login:Penguin
08/03/22 00:17:06 I+OQFn9y
>>765
汝のあるべき姿で語りたいなw
767:login:Penguin
08/03/22 21:02:15 jTH0sfih
>>765
SELinuxはテンプレ化が進んでるからですかねぇ(と新参者ですが)。
768:login:Penguin ◆XkB4aFXBWg
08/03/23 16:59:10 wJIqMRFs
>>767
昨年と比べてSELinuxが急激に普及したり、使いやすさが大幅に改善されたとは
思えません。またELC, OLSに参加してみて、Linux自体として
特にセキュリティ強化(MAC)に関心が高いともいえない状況であることを
感じました。
そうしたことから今年はSELinuxを含め「個別の実装に関する詳細」や
「個別の機能や仕様を前提としたもの(含むチュートリアル)」は
採用されにくく、運用上の課題やその改善に関するものがメインテーマに
なると予想していました。しかし、考えてみると採択を決めるのは
選考委員会のメンバーですから、たまたま選考メンバー
(URLリンク(www.linuxsymposium.org))が
興味を持っているか事情通でなければそうした事情は考慮されなくて
普通かもしれません。
そう考えるとSELinuxを使ってみようという人は着実に増えているでしょうし、
ドキュメントやツールなども改善作業が続いていますから、
チュートリアルや(一般向けの次のステップとしての)組み込みなどの
発表が採択されるのはわかります。(長文御免)
769:デムパゆんゆん
08/03/24 21:41:30 HGnMjrSK
URLリンク(itpro.nikkeibp.co.jp)
こんなもの発見 NISC万歳
BSDのようにwheelグループに所属させないと suできないとか
ともよタンでパス管理する
ただ管理するだけでなくもう一段深く逝っちゃったみたいな
一種の仮想化だな chroot環境みたいな
wheelグループに所属したユーザtomoyoからなら/dev/sdc1が見える
普通に/dev/sdc1と打ってもそんなファイルないニダ!!!とか
リモートから /dev/sdc1のCDドライブにアクセスしても出来ない
パスの拒否と言うよりは 登録されたパスのみ許可
山田びみょーにニュアンスが違う
うん アレだ 昨日レンタルで借りたダイハードに感化されちまぅこの頃
ネットワークもだな
仮想化すると スクランブル発信の衛星電話でトニーと会話が出来ちゃうかな
攻撃は外からでなく中からも意識汁!とシーズン3で学習した
ジャックとかトニーとか なんだこの2ちゃん脳は
URLリンク(www.foxjapan.com)
シーズン1からがんばってレンタルしてみる
小春日和 更なる電波が脳内で飛散中 うむ
770:login:Penguin ◆XkB4aFXBWg
08/03/25 06:48:45 RbKuLlro
>>769
>こんなもの発見 NISC万歳
この写真は何か変です(笑)が、BitVisorは用途によっては面白い
使い方ができると思います。
>攻撃は外からでなく中からも意識汁!とシーズン3で学習した
誰にでも権限を与えるわけにはいかないが、ジャックに権限を与えないと
解決しない。与えて良い相手に与えるべきときに権限を与えることが
できるのが理想だが現実は・・・。そのように見ると24は実に味わい深いデス。
771:login:Penguin ◆XkB4aFXBWg
08/03/25 06:50:58 RbKuLlro
768と769を見て、やっぱり2ちゃんに長文は良くない(合わない)と思いました。
それはともかく、SF.jpのtomoyoプロジェクトの月間pvがついに名前騒ぎの時の
記録を更新しました。
URLリンク(sourceforge.jp)
772:login:Penguin
08/03/25 11:01:00 xBK01x+J
> それはともかく、SF.jpのtomoyoプロジェクトの月間pvがついに名前騒ぎの時の
> 記録を更新しました。
オメ
773:login:Penguin ◆XkB4aFXBWg
08/03/25 18:59:16 QRHjGLzC
>>772
ガト!
774:login:Penguin
08/03/25 21:46:58 DkOcBX+S
厨な質問なのですが、何故イニシャルドメインだけで学習って出来ないんだろう。。
フルパス(?)ドメインでなくてもいい気がするんですが。
775:login:Penguin ◆XkB4aFXBWg
08/03/25 22:56:14 RbKuLlro
>>774
<kernel> /somewhere/foo /anywhere/bar の代わりに
<kernel> foo bar で、ということですか?
776:login:Penguin
08/03/25 23:15:14 DkOcBX+S
>>775
> >>774
> <kernel> /somewhere/foo /anywhere/bar の代わりに
> <kernel> foo bar で、ということですか?
そうですね。いっそのこと、
<kernel> * /usr/bin/skype *
とかはダメ?w
777:login:Penguin ◆XkB4aFXBWg
08/03/25 23:41:35 RbKuLlro
>>776
もし、「どんな順番で起動されたかにかかわらず/usr/bin/skypeおよびそれから
起動されたプロセスをひとつのドメインとして扱いたい(ゴルァ)」という意味で
あれば、それは既に現在の仕様で対応できていますよ。(^-^)v
778:login:Penguin ◆XkB4aFXBWg
08/03/25 23:46:18 RbKuLlro
それは要素としては、
・「(起動順番にかかわらず)とにかく/usr/bin/skypeをドメインにする」
・「/usr/bin/skypeが他のプログラムを実行(exec)してもドメインを分けない」
ということですが、initialize_domain, keep_domainがそのための指定です。
URLリンク(tomoyo.sourceforge.jp)
779:login:Penguin ◆XkB4aFXBWg
08/03/26 00:01:46 RbKuLlro
もしskypeだけでなくすべてのプログラムを履歴なしにフラットに
扱いたければ、AppArmorはそのようになっています。ただ、
容易に想像できるように「すべてのプログラム」のポリシー(プロファイル)
が提供されているわけではありません。
780:login:Penguin ◆XkB4aFXBWg
08/03/26 00:11:12 gHPNZ0WQ
ドメイン遷移は図があったほうがわかりやすいですね。ということで
今日はここまで。
URLリンク(tomoyo.sourceforge.jp)
781:775
08/03/26 10:06:33 FOAtd5Rg
>>780
ありがとうございます!無事、initialize_domain設定したskypeのdomain_policyを学習させることが
出来ました。行が長いので、base64でエンコードさせて頂きました。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:775
08/03/26 10:07:14 FOAtd5Rg
(>781の続き)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783:login:Penguin
08/03/26 12:41:32 FOAtd5Rg
ちょっと思ったのですが/etc/xinet.d/* のように、
配置できると嬉しいかなぁと思いました。
素人ですが^^
/etc/ccs/domain.d/skype.conf
784:デムパゆんゆん
08/03/27 00:07:15 4Ic0r+jb
>>780
>今日はここまで。
そう言わずにもう一軒 ええ店見つけましてん。
785:login:Penguin ◆XkB4aFXBWg
08/03/27 01:27:26 GkuWGSy/
>775
ポリシー設定ありがとうございました。
開発メンバーに見てもらいましたが、特に問題なく良い設定とのコメントでした。
こうした例を公開する場所があると良いかもしれませんね。
786:login:Penguin ◆XkB4aFXBWg
08/03/27 01:35:59 GkuWGSy/
>>783
面白いアイデアと思い開発メンバーに紹介しましたが、どうも
今ひとつくいつきがよくありませんでした。
ただ、loadpolicyコマンドを使えば、ポリシーの(追加)読み込みが
できますから、skype.confのように分割されたポリシー定義を
読み込ませるようなスクリプトを書けば、現仕様のまま実現できます。
URLリンク(tomoyo.sourceforge.jp)
787:775
08/03/27 14:35:51 36/2jW14
>>785
あ、そのプロファイルは自分の暫定的なものです^^。
>>786
なるほどです。ありがとうございます。
788:login:Penguin
08/03/27 22:15:54 aUlsUaZR
インストールしましたが
全然「ほえ~」でもなければ「はにゃ~ん」でもありませんでした
なにか設定が間違っているのでしょうか??
789:login:Penguin
08/03/27 22:41:13 LLacTuUH
>>788
確かtcshをインストールしないと
790:login:Penguin
08/03/27 23:32:29 aUlsUaZR
>>789
ググってもHP見てもなんかよくわかりませんでした
kwskお願いします >< ヒントだけでも
791:login:Penguin ◆XkB4aFXBWg
08/03/27 23:46:38 GkuWGSy/
>>788
設定というよりは板が違っています(合掌)。
>>790
多分、下のようなことかな?
URLリンク(www1.linkclub.or.jp)
しかし、これはTOMOYO Linuxの機能ではないので、そこのところよろしく (--;
792:login:Penguin
08/03/28 00:21:02 Xn8XQWtD
ほえ~
なんとなくわかりました
もともとそういうのじゃなかったんですね ><
793:login:Penguin ◆XkB4aFXBWg
08/03/28 00:33:42 LvZYfaJl
>>792
まぎらわしくてすみません。(_ _)
誰も読んでいないと言われていますが、一応FAQもあります。
URLリンク(tomoyo.sourceforge.jp)
これも何かの縁ということで、良ければまた遊びにきてください。
794:login:Penguin
08/03/31 19:15:11 rAd33tqq
tcshカタログの話題はUnix板でということなのか、
CCさくら板行けということなのか、激しく迷いますな
795:login:Penguin ◆XkB4aFXBWg
08/03/31 22:47:53 QQCeYF87
>>794
>激しく迷いますな
私が2chで読んでいる板はここだけで、実は他にどんな板があるか
さっぱりわかっていません。なのでどんな板が良いというコメントはできないのです。
なお、言いたかったのは、「探しているものはここ(この板)にはありませんよ
(時間をかけて探しても見つかりませんよ)」という意味です。
796:login:Penguin ◆XkB4aFXBWg
08/04/08 22:11:01 +7lkCNUj
4/4に7度目のLKML提案を行いました。Stephenから「どういうつもりだ?」と
いう励ましのメール(私信)をもらいました。
ついにSELinux陣営あるいはNSAと決着をつけるときがきたのかもしれません。
これから戦いを始めます。
797:login:Penguin ◆XkB4aFXBWg
08/04/08 22:14:11 +7lkCNUj
TOMOYOのメインライン提案のスレッドは、
URLリンク(elinux.org)
URLリンク(tomoyo.sourceforge.jp)
あたりからたどってください。
逝ってきます。
798:デムパゆんゆん
08/04/10 03:44:28 zrE8TllQ
大本営ハピョー
硫黄島の決戦でつか
栗林中将でつね 4月4日は真珠湾の奇襲のようでもありまつ
トラトラトラでつね
中将殿に武運長久
天皇陛下万歳!!!
799:login:Penguin ◆XkB4aFXBWg
08/04/10 06:31:25 tRh1J33s
>>798
>4月4日は真珠湾の奇襲のようでもありまつ
言われてみれば確かにそうなのです。さすがデムパ君でつね。
4/9の投稿は、さりげなくこれまでの歩みをアピールしているのが
ポイントでつ。「ちゃんとやってきているからいれてほすぃ」と
せつせつと訴えていまつ。PacSecもFOSDEMも実はいつかこうして
NSAに宣戦布告をするときのための準備だったのでつ。壮大な計画で、
大石内蔵助なのでつ。この意味がわかれば、デムパ君の電波も相当でつ。
ここからは大きな失敗をしなければ勝てるはずでつ。
でふぁ
800:login:Penguin ◆XkB4aFXBWg
08/04/10 06:34:36 tRh1J33s
TOMOYO Linuxの今までの経緯をわかつて読めば、
今のLKMLのスレッドはとてつもなく面白いのでつ
(やってるほうは大変なのでつが)。
巨大な陰○との最終決戦でつ。
801:login:Penguin
08/04/10 08:48:39 MSodk0Ja
またサボってしまった(汗&謎
書き、書き、理解。
802:login:Penguin ◆XkB4aFXBWg
08/04/12 07:48:15 z8OrFnDV
4/4のLKMLへの投稿について、おそらく初めてStephenからレスが
ついていますが、その他に私信で、「なにやってるんだ?」という
内容のメールをもらいました。
LKMLでは今もStephenとのやりとりが続いていますが、彼はそれとは別に
私信でも熊猫先生に提案について意見、助言をしてくれています。
「手伝って」くれています。
4/4の投稿については、Andrew Mortonからも熊猫先生に私信が届いています。
803:デムパゆんゆん
08/04/12 10:06:32 5715pAtk
思考停止逆切れ作戦なのかマヂなのか ワロタ
大量パッチ放火
ん?
SELinuxがあるだろ常孝
LSMいらんだろ常孝
長文うぜ~
お茶飲む?
なんだよ 2ちゃん脳ばっかりぢゃないかw
今までカーネルセキュリティー全力で逃げてたしな
神様とかアランとか LSMの時も全力で後ろ向いて
ヲレ忙しいし うん ちょっとトイレとか
うん ぢゃぁ 入れる といやいや入れてた記憶がある
ポールの思考停止いいねいいね ツンデレなのか ひねくれてんのか
記憶は捏造できる フフン
804:login:Penguin
08/04/15 01:21:37 DYlit/aQ
>>799
別にその辺で喋ったからどうこうつうのはあまり関係ないと思うわけで。
その結果えらい人が興味を持って味方してくれれば別なんだけど。
# 俺が外で喋るのは入れてもらってからなんでよくわからん。
まあとりあえず今のは既存コードへの影響がでかすぎて、レビューすら
やってもらえん状態じゃないかと。
805:login:Penguin
08/04/15 01:27:21 DYlit/aQ
>>803
えらい人はそういうのに興味がない&よくわからんので関わり合いを避けたい。
というのが本音なのでつ。
なのでLSMという壁を作って、セキュリティのことは壁の向こうで話し合えや。
LKMLに持ってくるんじゃねえ。てことにしたのでつ。
806:デムパゆんゆん
08/04/15 02:16:30 gc7ozife
>>805
やるなら今しかねぇw
誰だって面倒なことしたくね~ ヲレもだ 正直面倒
>まあとりあえず今のは既存コードへの影響がでかすぎて、レビューすら
>やってもらえん状態じゃないかと。
激しく同感 返信の中にLSMの中でやってくれないかとかあったし
本体に影響しない仕様変更とか出来ないなら
LSMの仕様変更とか 結局メンテナの負担だわな
つかLSMの人がずっと思考停止w ともよ? イラネだし
807:login:Penguin
08/04/15 03:16:42 NNSBLErA
selinuxに挫折したオレ
サルでもわかるTOMOYOってどこかにない?
808:login:Penguin
08/04/16 00:02:58 aGXleYF5
>>807
TOMOYOはSE Linuxと比較したら解りやすいと思う
多分必要なのはMACやアクセス権、システムコールって何?といった知識だと思う
LiveCDで学習モードのまま眺めてればなるほどと思うかも
URLリンク(tomoyo.sourceforge.jp)
809:login:Penguin ◆XkB4aFXBWg
08/04/16 01:03:29 PeDWAeKt
>>807
ツルボから始めてみるのはどうかな?
インスコしたり試すのはツルボでなく他の鳥でもできるけれど
ツルボだと、鳥をつくっているチームとTOMOYOチームが合同で
作ったポリシー(サポート不要なら参照は無料)があるから、そこから
始めてみるには良いと思う。
URLリンク(www.turbolinux.co.jp)
810:login:Penguin ◆XkB4aFXBWg
08/04/16 01:08:15 PeDWAeKt
>>808
>LiveCDで学習モードのまま眺めてればなるほどと思うかも
確かに。先日LiveCDのポリシーをlxrにあげますた。
URLリンク(tomoyo.sourceforge.jp)
811:login:Penguin ◆XkB4aFXBWg
08/04/16 01:15:39 PeDWAeKt
隊長、報告が遅くなりまつたが、ELC2008会場に潜入しますた!
Henry Kingmanのキーノートが始まっていまつ。英語です。(笑)
今のところ敵の姿はありません。
何かあれば、どこよりも早くここで報告します。でふぁ
812:login:Penguin ◆XkB4aFXBWg
08/04/16 02:59:53 PeDWAeKt
隊長、TOMOYOセッションについて報告します。
講演用のPCが前日起動しなくなり、システムの復元を行い本番に
備えましたが、講演直前の5分前に再び不調、バックアップ機を
用意しましたが、そちらも原因不明で起動しないという
ありえないほど過酷な状況の中、なんとか本番直前に復帰、講演を完遂しますた。
参加者は約20名、主な質疑はポリシーの記法に関する内容と
初期設定を行うためのツールの有無、CPUアーキテクチャ依存でした。
813:login:Penguin ◆XkB4aFXBWg
08/04/16 06:41:01 PeDWAeKt
LWN.netのJake Edgeの講演が終わりました。
"Avoiding Web Applications Flaws in Embedded Devices"というタイトル
ですが、既に資料が公開されています(TOMOYOの名前もでてきます)。
URLリンク(lwn.net)
といっている間に、中村さんの講演が始まりました。
814:login:Penguin
08/04/16 07:00:47 aGXleYF5
おはようございます。
Jakeのプレゼン資料を見た限りでは組み込み関係なくWebApplication作成時の注意で
それに加えて組み込み系にありがちなURL固定とか認証サボりがあるから余計に注意しろよーって話みたいですねー
で、TOMOYOがあると必要としないモジュールを洗い出すのに便利っすよみたいな感じで触れたのかしら?
それともPathチェック漏れでもTOMOYOが有れば防げるかもみたいな感じかにゃ?
815:login:Penguin ◆XkB4aFXBWg
08/04/16 07:14:36 PeDWAeKt
説明的には、「こうした技術を使えば、OSレベルで被害を軽減することも
できるようだよ」というくらいの感じでした。正直言って、Jakeはあまりこのあたり(セキュアLinux)に
明るくないように見えました。
816:login:Penguin ◆XkB4aFXBWg
08/04/16 07:32:41 PeDWAeKt
中村さんの発表が終わり、まもなく海外さんの発表が始まります。
今日は初日でつが、夜にはセキュアEmbeddedのBOFもあり、一日に
集中してしまいまつた。時差がこたえまつ。中村さんの発表は、
内容はわかったのですが、もともとTOMOYOであれば実現/対応できていること
ばかりのような気がして、「何故あえて(組み込みで)SELinuxでつか?」と
いう疑問が生じてしまいます。
817:login:Penguin
08/04/16 07:44:32 aGXleYF5
>>815
まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。
組み込みじゃないWebApplicationの監査とかやってる人から見れば何を今更な話題なのかも。
悪意のあるユーザーからのリクエストを直接受け付けないから比較的安全と思われてた組み込み形も
ブラウザやらプラグインやらの穴を使ったりしたXSSやらXSRFやらで危険に晒されてるって事が重要なんですよね。多分。
実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにするとWAN側が開いて謎の裏口ID&パスで入れるようになったり(w
一応NTTのメンテナンス用IP帯からしか接続受け付けないようになってるっぽいしデフォルトOFFですが・・・
818:login:Penguin ◆XkB4aFXBWg
08/04/16 07:50:26 PeDWAeKt
>>817
>まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。
そうですね。あと、どうしてLWNの人がこの話題なのかなと思いました。
>実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにすると・・・
ルータ(英語の発音だと「ラウター」に近い)はよくやられるという
話がでていました。
海外さんの話が始まりましたが、「そもそもセキュアOSとは」とか
「Protection Profileとは」というところから始めています。(@_@; びっくり
819:login:Penguin ◆XkB4aFXBWg
08/04/16 07:58:24 PeDWAeKt
>>816
やはりTOMOYOはまだまだ知られていなくて、組み込み分野を含めて
本当はTOMOYOだとうまく解決できる場合もそれに気づいてもらえていないのか
と思います。そういった意味でもメインライン化はやはりどうしても
なしとげたいです。
会議に出る目的のひとつは、TOMOYOを含めたセキュアOSに対する「温度」を
はかることで、講演の参加者と質疑が参考情報です。今年は昨年よりは確実に
高まっていると思いますが、まだ一部の人という印象です。
820:login:Penguin ◆XkB4aFXBWg
08/04/16 08:06:02 PeDWAeKt
さきほど、LXRにversion 1.6.0を追加しました。1.6.0は1.5.3との
差分が大きいため当面は両方とも残しておきます。
URLリンク(tomoyo.sourceforge.jp)
version 2.Xは、ちょっと中途半端な状態になっているため、
帰国後整理した上で追加します。
821:login:Penguin
08/04/16 08:09:22 /Z5CkmBk
TOMOYOじゃなくてYaSELinuxとかにしたら一気に普及してたかもなw
822:login:Penguin ◆XkB4aFXBWg
08/04/16 08:16:16 PeDWAeKt
>>821
最初は失敗したと思いましたが、なんだかんだ名前が注目されたことにより、
ここまで(メインラインに挑戦できるまで)こられた部分があるように思います。
YaSELinuxだとその点、やや微妙かも。またSELinux陣営が許さないでしょうw
823:login:Penguin ◆XkB4aFXBWg
08/04/16 08:24:51 PeDWAeKt
7回目の提案のスレッドで、こんな図を投稿しています。
URLリンク(article.gmane.org)
AppArmorやTOMOYO Linuxはnamespaceの世界で処理をしていて、
VFSやLSMではinodeの世界です。残念ながらnamespaceの世界は、
その中だけでは完結せず、二つの世界をブリッジするためにvfsmountの
パラメータを渡せるようにしたいというのがoption 1ですが、VFSの
Al Viloがくせ者でウンといいません。optoin 2はそれをせずにフックを
追加「させてもらう」で、4/4の投稿はそのどちらでもなく、LSMとは別の
仕組み(フックセット)を提案した形でいろいろ怒られました。
824:login:Penguin ◆XkB4aFXBWg
08/04/16 08:30:41 PeDWAeKt
メインライン化がなかなか進展しない理由のひとつは、メンテナ間の関係が
見えないことにあると思っています。特定のモジュールに閉じた話だと
簡単ですが、このように複数に関わり、かつ発言しないメンテナがいる状態だと
どう進めるかが難しく、あちらたてればこちらたたずというか常に誰かに
反対されます。皆自分のところに自分が必要と思わない変更をしたくないからです。
# 海外さんの発表はついにPOSIX Capabilitiesのページにきました。
825:login:Penguin
08/04/16 08:43:46 aGXleYF5
>>818
確かにラウターですね(w
遠い昔、某橋のロゴの中の人がそんな感じの発音してますた。
ルータは設定変更する事でWAN側からLAN側に進入するのに使えますし、
24時間電源が入ってますから攻撃の踏み台としても旨いのでしょうねぇ。
IPアドレスも192.168.*.1辺りでほぼ固定ですし。(0,1,11,2辺りがメジャー)
さらにまずいことに設定の容易化の為に意図的に固定したDNS名とかを付けちゃったりするのでより厄介っすな。
例: NEC "web.setup" I-O "airport" NTT(oki) "ntt.setup"など
TOMOYOが有効なら最悪でもルータ自体に変な卵を植え付けられるのを防げるかな?
# 非正規ファームでシステム全体を乗っ取られた場合を除く
最近のネタだとFlashが接続先を限定しないのを悪用してUPnPを使ってポートを強制解放とかいうネタがありましたな。
UPnPが信頼したネットワークからの通信のみを想定して認証を捨て、一方通行でもおkにしたのが仇になったというかなんというか。
# オフトピばっかでごめんよー
>>824
大規模オプソの負の面なんでしょうかね?
GUI周りなんかでもそうですけど、横(プロダクト・モジュール間)の繋がりがよろしくないんですよね。
簡単な例だとカラーマネジメントとか未だにどうなっちょるねんって感じ。
826:login:Penguin ◆XkB4aFXBWg
08/04/16 08:57:02 PeDWAeKt
>>825
>TOMOYOが有効なら最悪でもルータ自体に変な卵を植え付けられるのを防げるかな?
鋭いですね。組み込みの場合は、外部不正アクセス全体を神経質にはじくと
いうよりは、特に重要な操作を保護する形が一般的だと思っています。
>大規模オプソの負の面なんでしょうかね?
このあたりは我々にはわからない微妙なメンテナの力関係があるようで、
StephenでもAl Viloに指図はできないようです。おそらくTOMOYO以外でも
複数のメンテナやシステム全体に関わる変更であれば同じようなことが
起きているはず。
Linusが一喝するという解は存在しますが、それを意図的に起こすことは
難しく、だとすると世論?で流れを作るのが現実的かと思っていて、
そのような誘導をしているわけです(深いでしょ?(笑))
/etc/shadowのような各論は、ちゃんと議論したらおそらく負けないのですが、
相手が不特定多数かつ根拠がなかったり感情的な発言をして逃げてしまう人などが
いますし、過去のスレッドを見ても結論がでずにもめて終わるケースが多いと
思っています。白黒つけるにはmlは向いていません。
827:login:Penguin
08/04/16 09:20:29 aGXleYF5
>>826
まぁ、彼(Al Viro)の言い分としては俺より上の情報が欲しいならそっちで対応しろって感じかバグとかソース肥大化とかレスポンス低下とかが嫌って感じでしょうかね。
後>>823の絵に現状を追記して如何に歪か強調しておくとか(笑)
例えばこんな感じで URLリンク(www.imgup.org)
# 色々エラソーな事言ってましたがLinuxカーネル周りの理解度が足りてないので変な可能性あり。
828:login:Penguin ◆XkB4aFXBWg
08/04/16 09:27:26 PeDWAeKt
>>827
楽しい絵をありがとうございました(笑)。
ただ、このあたりの加減が難しくてやりすぎると逆効果になりますし、
ジョークや遊びもはずしてしまうと大変寒い思いをします(経験あり)。
LKMLの発言自体も一種の流儀があって、このごろやっとそれがわかってきました。
Alの場合は、熊猫先生によると「思想、考え方(好き嫌い?)」的な反対
されているようで、まもとな議論すらさせてもらえない状況です。
829:login:Penguin ◆XkB4aFXBWg
08/04/16 09:35:35 PeDWAeKt
話は変わって、4/18に発売されるSoftware Designに「TOMOYO Linuxの歩き方(後編)」が
掲載されますが、結構画期的な記事になっています(笑)。
正直、「ちょっと書きすぎた」かもしれません。是非前編と併せてお読みください。
830:デムパゆんゆん円高まんせ~
08/04/16 09:41:23 gcOHAMwF
>selinuxに挫折したオレ
>サルでもわかるTOMOYOってどこかにない?
ってLKMLに放火していいでつかそうですねだめでつね
なんかスレ伸びてるなぁと思ったら
イラクの自由作戦みたく波状攻撃でつか
別働隊はどこかで攻撃してるのでつね
>白黒つけるにはmlは向いていません。
そこで、連日罵倒大会絶賛開催中の某巨大掲示板
メンテナの買収だなw 金がだめなら女だ
だた様の資金力を持って全力でLKML特攻
アルビノの買収はだな LSMが出来た頃どういう立場にあったとか
思想信条 背景調べて うん
ちょっとCTU逝って来る
831:login:Penguin
08/04/16 09:47:29 aGXleYF5
今更ですけど、私はLSM周りの議論も追いかけ切れてないしTOMOYOのソースも把握してない一般&初心者ユーザーよりの名無しさんなのでスルーしたほうがよい事もあります。
# TOMOYOの上層での概念(名前空間によるMAC)を理解して、こう動いてるだろうというのを妄想しているだけです。
## どうやらこの名無しさんはブラックボックステストのやりすぎで妄想屋さんになっちゃったようです。
あの絵を更にプレゼンぽくするならAppArmorやTOMOYOの箱をLSMの箱から飛び出させてnamespace空間辺りから矢印を引っ張る手もありますな。
後Before/AfterみたいにしてAlが対応してくれたらスッキリするんだよっという点を強調したりとか。
まぁ、Al Viro氏と直接関係するのはLSM全体のChris Wright氏のようなのでChris氏経由になるでしょうが。
ただ、>>828によると思想で好き嫌いっぽいし場の雰囲気も商談(?)とは違うっぽいのでなかなか厳しいですかね。
気分屋さんとお付き合いするのは私は苦手だなー
>>829
試しに前編読んで役立ちそうなら買ってみますー。まだ残ってるかなぁ?
なければ図書館で複写サービスのお世話になりますか。
とにもかくにも色々頑張ってください。
# 俺も頑張らなきゃー
832:login:Penguin ◆XkB4aFXBWg
08/04/16 10:39:12 PeDWAeKt
>>830
>なんかスレ伸びてるなぁと思ったら
本当は到着初日からレポートする予定でしたが、ホテルのネットワークから
だと規制されていて書き込みができなかったのです。
>そこで、連日罵倒大会絶賛開催中の某巨大掲示板
ここにいろいろ書いているのは、なんとなく書いたことが理解されているように
思うからです。日本語的にはいろいろ問題がありますが(笑)、言葉の
はしはしにそれを感じます。冗談抜きでこんな感じでLinuxの仕様について
議論できる場があれば良いと思いますよ。
833:login:Penguin ◆XkB4aFXBWg
08/04/16 10:45:35 PeDWAeKt
>>831
実はあの図は、上に書かれていることを暗黙のうちに主張しています。
メンテナの名前は本来不必要ですが、いれているのはChrisが何もして
くれないということを訴えていますし、整理された図を見ると
「なんだ、Alがvfsmount受けてやればいいんじゃん」と気づくはずです。
>試しに前編読んで役立ちそうなら買ってみますー。まだ残ってるかなぁ?
少なくともバックナンバーは買えます。(^-^;
前編の内容は各種情報源の紹介で、いわば観光名所の紹介です。この板を
見に来ている人なら半分くらいは既におなじみだと思います。
後編はただ場所ではなく目的ごとの「読み方」を扱っており、そのほか
デラックス付録として「名前の由来」について書いています。と言っても
別に最初から隠しておらずこれまでも機会あるごとに説明した内容ですが。
834:デムパゆんゆん円高まんせ~
08/04/16 11:09:01 gcOHAMwF
よくあるネタ
クリスは置き物で アルビノの後ろにラスボスが
じつわ神であった。 二人はア"ッーな関係
スマックやselinuxの中の人はLSM
どう思ってるのかしらん
セキュア陣営で共同戦線!!!とか
われわれはぁ 断固抗議するアル
抵抗勢力はぶっつぶすとかww
selinux出てきたときも猛烈な反発あった気が駿河
で、出てきたのが上にもあるようにLSM通してそっちでやって栗と
835:login:Penguin ◆XkB4aFXBWg
08/04/16 11:36:23 PeDWAeKt
「今」こちらの時間で4/14 19:32です。
"security BoF"が始まりましたが、日本人は中村さん、海外さんを
含めて6名、日本人以外は4名という構成です、
と書いていたらMontaVistaのHadiが入ってきて今挨拶をしました(実況中継みたい)。
836:login:Penguin ◆XkB4aFXBWg
08/04/16 11:40:33 PeDWAeKt
TOMOYOプロジェクトは過去何回かJapan Technical Jamboreeに参加して
いますが、セキュアOSに関する知識や関心は国内はかなり高いと思います。
SELinuxでもSmackでも良いから、国内の組み込みで積極的に導入して、
海外のユーザをリードしていく、くらいだと良いのですが。
837:デムパゆんゆん円高まんせ~
08/04/16 18:44:39 gcOHAMwF
今頃、ダメリカ特攻隊はサンノゼの空飛んでる夢見てるんでつね
リードするなら釣るネタいりまつ
selinuxにしても現状漠然としたイメージ わかりやすい事例とか
目立でちょっとしゃちょ~つかまえてだな
協業相手見つけたから プレス撃てと
selinuxでOO社と協業することに 採用事例もうんぬん
組み込み STBとかケータイとかかのぅ?
車業界も最近同業他社でモジュール共通化とか 今頃言い出したし
車はカーナビとか ほとんどWANだ 防御にはいいかしらん?
itproで linuxのセキュリティー界隈に変化が! とか記事出して
日経linuxで来月号 緊急増刷 10ページ追加
linuxのセキュリティーの今!
セキュア陣営を筆頭にlkml新たな動き!
今まで挫折を繰り返したあなた selinuxがこんなにも簡単に導入!とか
煽って煽ってだな メディア戦略おけ~www
それでふぁ 再潜行 ブクブクブクブク
838:login:Penguin
08/04/16 23:59:21 JHS2xGmI
うぅむ…。 日常やるコンパイルは監視させたくない(make なんかでドメインが
大増殖するから)けど、 firefox とか skype とかのネットにつながるものの動
きは監視しときたい。とすると、 initialize_domain を連発するしかないのか
なぁ…。
839:login:Penguin ◆XkB4aFXBWg
08/04/17 03:27:42 mbLpQzdf
>>838
initialize_domainの効果は、複数の起動形態を持つものを同一の
ドメインとして扱う、および<kernel>直下のドメインになるということで、
アクセス制御の内容自体とは直接関係しません。
LiveCDでは<kernel>ドメインのみを学習モードのプロファイルとして
定義していますが(この板の上のほうを参照ください)、監視(制御)したい
ドメインを「陽に」制御するプロファイルで書いておくと、やりたいことが
実現できます。(この説明でぴんとこなければまた質問ください)
840:login:Penguin ◆XkB4aFXBWg
08/04/17 03:33:10 mbLpQzdf
さきほどAndrew Mortonのキーノートが終わりました。
生Mortonを至近距離で見ました(笑)が、「なんでも俺に相談しろ
(Ask me!)」と強調されていました。お話しようと思ったのですが、
すぐにたくさんの人に囲まれて(ディズニーランドのミッキー状態)
まだアクセスできていません。がんばります(何を?)
841:login:Penguin
08/04/17 14:57:07 BWf/C86W
やっぱり、 initialize_domain連発したくなるよなあ。
842:login:Penguin
08/04/17 21:54:56 eiQcPVPB
一般の用途だとほんとに監視したいのはネットにつながる子が変なことしないか、だけだからねぇ…
843:login:Penguin ◆XkB4aFXBWg
08/04/18 00:46:23 YFqemKaX
>>841
>>842
initialize_domain連発しても全然問題ないですよ。
「必要なところ(ドメイン)を見極めてしっかり守り、それ以外は
学習、あるいは無効モードで」というのが現実的な運用スタイルだと
思います。
844:login:Penguin ◆XkB4aFXBWg
08/04/18 01:32:28 YFqemKaX
URLリンク(lwn.net)
845:login:Penguin
08/04/18 01:41:32 PtogwsB7
おお、なかなか興味深い事態に。
846:login:Penguin ◆XkB4aFXBWg
08/04/18 01:51:07 YFqemKaX
>>845
そう。その通り。
URLリンク(thread.gmane.org)
URLリンク(d.hatena.ne.jp)
847:LiveCDの中の人
08/04/18 02:10:37 YFqemKaX
>>841
>>842
1つの手段として、
keep_domain <kernel>
してしまってすべてのドメインをデフォルトでわけないようにしておき、
initialize_domain /usr/bin/firefox
initialize_domain /usr/bin/skype
でfirefoxとskypeだけを特別扱いする、という手段があります。
TOMOYOは「すべてのexecで自動的にドメインを分ける」のがデフォルトで、
ユーザが意識せずともアクセス制御の単位を細かく切り分けるのが特徴ですが、
逆にこれが鬱陶しい場合は上記のように思い切ってkeep_domainするのがおすすめです。
(いずれにせよ「分けるのがデフォルト」なので、initialize_domainの連発は必要ですが)
848:login:Penguin ◆XkB4aFXBWg
08/04/18 02:21:35 YFqemKaX
以前も書きましたが、「こんなことできないの?」と思いつくような
ことはだいたい実現されているのではないかと思います。
実現されていない場合は、内容を検討して、有用であれば実装されるかも
しれません。
疑問、質問、どんな内容でも良いですから気軽に書き込みください。
849:login:Penguin
08/04/18 06:11:46 cOa8NbkQ
ツバサクロニクル系というか魔法剣士系の採用はありますか?
850:login:Penguin
08/04/18 06:12:25 cOa8NbkQ
てかMOKONA Linuxはいただいた!
851:login:Penguin ◆XkB4aFXBWg
08/04/18 07:26:18 YFqemKaX
>>849
「採用はありますか」の意味が不明のため回答不能です。
>>850
てかさしあげようがありません。
>>848
>疑問、質問、どんな内容でも良いですから気軽に書き込みください。
「TOMOYO Linuxに関する疑問、質問」であれば「どんな内容でも」という
ことです。
852:デムパゆんゆん
08/04/18 23:09:52 VTKRkwhl
回答不能でバッファオ~バ~フロ~発生
ばぁぶぅ~
853:login:Penguin
08/04/18 23:10:32 cOa8NbkQ
神が気分を害されたw
854:デムパゆんゆん
08/04/19 00:03:26 ZON2E7Cb
気分を害されたのでつね
神様申し訳有馬温泉
どうすれば? もぅいいクビだ
・・・・・。
職安逝って来る
さて、バッファオ~バ~フロ~でつ
学習モ~ドでふぁログをガリガリと書いていきまつ
禁欲モ~ドでどうなるニダね
常用環境で試して どうなろうと僕はしりましぇん
こ~ゆ~のは業界でテストケ~スと課言うんでつか
バッファオ~バ~フロ~起こさせるようなプログラムないか
ちょっとCTU行ってくる
855:login:Penguin ◆XkB4aFXBWg
08/04/19 23:19:07 J3xqYE8V
>>853
気分を害したわけではありません(それ以前に「神様」もないけど)。
基本的にここに書き込んでくれた人には返事をしたいと思っていますが、
「採用」がTOMOYOを使ってみたい、あるいは開発に参加したいの意味か
不明で返答ができなかったということです。
>>851
>「TOMOYO Linuxに関する疑問、質問」であれば「どんな内容でも」という
と書いた意図は、それ以外を書かれると、「返してあげたくても返して
あげられない(心苦しい)」ということです。
856:login:Penguin ◆XkB4aFXBWg
08/04/19 23:22:59 J3xqYE8V
>>854
雇ってないので大丈夫です。
>学習モ~ドでふぁログをガリガリと書いていきまつ
>禁欲モ~ドでどうなるニダね
>常用環境で試して どうなろうと僕はしりましぇん
サーバはしにましぇん。クラックされてもしにましぇん。
もともと常用環境で使うのが本来なのでつ。禁欲モ~ドでいくには、
ちゃんとぽりすぃ違反を監視して、対処できるようにしておかなければ
いけましぇん
857:login:Penguin ◆XkB4aFXBWg
08/04/19 23:30:33 J3xqYE8V
>>854
>常用環境で試して どうなろうと僕はしりましぇん
ばかやろー
リスクを恐れていてセキュアOSが導入できるか!(ごるぁ)
━━( ゚Д゚)凸━━ !!
デムパ、逝ってよし!あとは俺たちに任せろ(俺たちって誰だ?)
858:login:Penguin ◆XkB4aFXBWg
08/04/19 23:33:41 J3xqYE8V
自分で書いたものを自分で読んでびっくりかつ自己嫌悪だが、
しかし、本当にそういうことなのだよ。おまいならわかってくれると信じる。
>デムパ
859:login:Penguin ◆XkB4aFXBWg
08/04/20 15:45:22 s3pqM0To
URLリンク(lists.sourceforge.jp)
LWN.netのJonathanの記事の日本語訳です。
860:login:Penguin
08/04/20 21:53:04 mkNbjbzD
ふむぅ…許可ログが溢れる。
何故許可ログが/var/log/tomoyo/reject_log.txtに書き込まれるのじゃろう。
MAX_GRANT_LOG=0にしても書き込まれる。
カーネル再構築の際にMAX_GRANT_LOGの標準値を0にしても書き込まれる。
Vine4.2、TOMOYOタンは1.6.0。
TOMOYOタンが1.5.xの頃は書き込み抑制できたのに…。
我が悪いのか我が悪いのか我が悪いのかorz
861:login:Penguin ◆XkB4aFXBWg
08/04/20 21:59:21 s3pqM0To
>>860
version 1.6では多数の機能追加だけでなく、LKML提案のための
コーディングスタイルの変更が行われており、もしかしたらそれが関係した
デグレードの可能性もあります。
URLリンク(lists.sourceforge.jp)
もし可能ならもう少し具体的な情報をお知らせください。
862:デムパゆんゆん
08/04/21 00:37:12 /9Akzjvg
>常用環境で試して どうなろうと僕はしりましぇん
あ、本番環境とかそういうつもりじゃないです。
普段、家で会社でいつも使うという意味の常用です。
網走刑務所のお勤め終わりました。 やっとプロバイダ全規制解除
863:login:Penguin ◆XkB4aFXBWg
08/04/21 07:46:38 6Gdqvlo3
>>862
デムパもどき??? (@ @;
864:デムパゆんゆん
08/04/21 20:35:06 HuS1sRX3
10分でまた全規制になりました。
自分は網走でお勤めです。
SD今月号読みました。
神様芥川賞取れそうな文才全開
シーズン2もみたいアル。
もどきじゃねぇ本人だ。
ばぶぅ
865:login:Penguin
08/04/21 21:10:53 coMEImMD
boincで、wcgしてます。
initialize_domain /usr/bin/boinc_client
をexception_policy.conf
に入れて、
# ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
たたいても、boinc_clientからforkされる wcg_hpf2_rosetta_5.20_i686-pc-linux-gnu とかは
無視されるんですね。
866:865
08/04/21 22:24:43 ys16n8Hu
失礼、2だった。
867:860
08/04/21 22:28:37 cnfwqPC3
>>861
ふむぅ…なんとお伝えしたらよいのやら(汗)
取り合えず書き環境どす。
ディス鳥:Vine4.2
コンパイル前uname -a:2.6.16-0vl76.33 #1 SMP Sun Apr 20 20:58:37 JST 2008 i686 i686 i386 GNU/Linux
コンパイル後uname -a:2.6.16-0vl76.33-ccs-1.6.0 #1 SMP Sun Apr 20 20:58:37 JST 2008 i686 i686 i386 GNU/Linux
#apt-get install kernel-source
#cd /usr/src/linux-2.6.16
#wget URLリンク(osdn.dl.sourceforge.jp)
#tar zxvf ccs-patch-1.6.0-20080401.tar.gz
#patch -sp1 < /patches/ccs-patch-2.6.16-0vl76.33.diff
#cp /boot/config .config
#make oldconfig(→ここでMAX_GRANT_LOGの部分を0)
#make menuconfig(→ここでMAX_GRANT_LOGが0になっていることを確認)
#make -s
#make modules_install
#cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.16-0vl76.33-ccs-1.6.0
#cp System.map System.map-2.6.16-0vl76.33-ccs-1.6.0
#mkinitrd /boot/initrd-2.6.16-0vl76.33-ccs-1.6.0.img 2.6.16-0vl76.33-ccs-1.6.0
カーネル再構築はここまで(後は適度にgrubを修正)。
868:860
08/04/21 22:30:36 cnfwqPC3
全文記載弾かれたので分けました。
後はccs-toolsをダウンロードしてmake -C ccstools/ all install。
#init_policy.sh --file-only-profile
#echo "/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt" >> /etc/rc.d/rc.local
#mkdir -p /var/log/tomoyo
取り合えず行った作業は上記まで。
その後リブートしたのですが/var/log/tomoyo/reject_log.txtには許可ログがべっとり。
/etc/ccs/profile.confに「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。
loadpolicy -pは実行済み。
その後に再起動かけてもべっとり。
例)
#2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0
<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi
use_profile 0
取り合えず現状こんな感じです。
カーネル再構築自体は成功しています。
拒否モードにするときちんと動作を拒否してくれています。
869:860
08/04/21 22:47:56 cnfwqPC3
ちなみにprofile.confは…
# cat profile.conf
0-COMMENT=-----Disabled Mode-----
0-MAC_FOR_FILE=disabled
0-TOMOYO_VERBOSE=disabled
0-MAX_GRANT_LOG=0
0-RESTRICT_MOUNT=enabled
0-DENY_CONCEAL_MOUNT=enabled
0-RESTRICT_CHROOT=enabled
1-COMMENT=-----Learning Mode-----
1-MAC_FOR_FILE=learning
1-TOMOYO_VERBOSE=disabled
1-MAX_GRANT_LOG=0
1-RESTRICT_MOUNT=enabled
1-DENY_CONCEAL_MOUNT=enabled
1-RESTRICT_CHROOT=enabled
2-COMMENT=-----Permissive Mode-----
2-MAC_FOR_FILE=permissive
2-TOMOYO_VERBOSE=enabled
2-MAX_GRANT_LOG=0
2-RESTRICT_MOUNT=enabled
2-DENY_CONCEAL_MOUNT=enabled
2-RESTRICT_CHROOT=enabled
3-COMMENT=-----Enforcing Mode-----
3-MAC_FOR_FILE=enforcing
3-TOMOYO_VERBOSE=enabled
3-MAX_GRANT_LOG=0
3-RESTRICT_MOUNT=enabled
3-DENY_CONCEAL_MOUNT=enabled
3-RESTRICT_CHROOT=enabled
870:login:Penguin ◆XkB4aFXBWg
08/04/21 23:12:29 6Gdqvlo3
>>865
># ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
# ccs-setprofile -r 2 '<kernel> /usr/bin/boinc_client' です。
参考
URLリンク(tomoyo.sourceforge.jp)
871:login:Penguin ◆XkB4aFXBWg
08/04/21 23:19:22 6Gdqvlo3
>>860
開発メンバーに報告しましたのでしばらくお待ちください。(_ _)
872:デムパゆんゆん
08/04/22 00:14:46 XsdpoNQq
24しますた
873:login:Penguin
08/04/22 00:35:51 nBaXrVo3
>>870
> >>865
> ># ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
> # ccs-setprofile -r 2 '<kernel> /usr/bin/boinc_client' です。
>
> 参考
> URLリンク(tomoyo.sourceforge.jp)
なるほど、失礼致しました。ありがとうございます。
874:login:Penguin
08/04/22 06:32:31 BZrfz1S8
>>868
>/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt
ccs-auditd に渡す2つのパス名の内、
1つめが許可ログ(ポリシーに存在しているアクセス要求のログ)の保存場所、
2つめが拒否ログ(ポリシーに存在していないアクセス要求のログ)の保存場所です。
ですので、拒否ログ( /var/log/tomoyo/reject_log.txt )を出力させたくない場合には
>「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。
ではなく、
「プロファイル番号-MAX_REJECT_LOG=0」を指定ください。
>#2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0
><kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi
>use_profile 0
これは正常なログです。 /bin/bash から /bin/vi が実行されたことにより、
<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi というドメインが
新規作成され、プロファイル番号として 0 が割り当てられたというログです。
1.6.0 では、学習モードを使わなくても拒否ログから学習モードと同等の結果を
得られるようにするために、ドメインが新規作成された時に上記のようなログを
拒否ログとして出力するようになりました。
875:login:Penguin ◆XkB4aFXBWg
08/04/22 06:37:19 WnxtELB+
>>874
>ドメインが新規作成された時に上記のようなログを
拒否ログとして出力するようになりました。
を抑制することはできないのですか?
876:login:Penguin ◆XkB4aFXBWg
08/04/22 07:55:46 WnxtELB+
>>875
1.6のポリシーリファレンスを見る限り現状は対応していないのかしらん
URLリンク(tomoyo.sourceforge.jp)
877:login:Penguin
08/04/22 13:36:16 DRUyJgxS
Macに対応してみても良いのでは。
878:860
08/04/22 21:25:08 e/LuciY4
>>874
ありゃ…吐き出し方が変わっていたとですか。
学習ログと許可ログをゴッチャにしてたとです。
取り合えず現状この状態が「正常」ということで認識しておきますです。
個人的には>>875も言っておりますが…
学習吐き出し
許可吐き出し
拒否吐き出し
を単体、もしくは組み合わせて吐き出せるような仕様が欲しいのです。
879:デムパゆんゆん
08/04/23 00:17:07 iieJvJWr
解除復活アル
ぐあしあぐあしあ
880:デムパゆんゆん
08/04/23 00:22:38 iieJvJWr
>>878
網走は寒かったでつ
ログ吐き出し なんか整形ツールあれば良いでつね
そうだ snmpでつないでhinemosで管理 弊社のトータルソルーションでありまつwww
ログがたまるの嫌ならcronとか回して
タ~で固めるのだめニダか?(@@)
881:login:Penguin
08/04/23 02:38:18 AaDa6A91
>>880
ログが溜まるのはよかとですたい。
むしろ「お兄ちゃん見て見て!ログが少し大きくなったの」的な妄想ができますたい。
だがお兄ちゃん脳の記憶領域が残り3byteしか空き容量が無いので新しい仕様を覚えることに一苦労なのです。
欲望だけが沸き続けるのは人間の性。
882:デムパゆんゆん
08/04/23 10:17:26 iieJvJWr
>>881
お おにぃちゃん おなかがくるしいよぉ
なにがはいってるのぉ
DS大人の脳トレーニングで
脳内再起動
>>856
>雇ってないので大丈夫です。
送った履歴書がUターンしてきたようでつ ふへ
883:login:Penguin
08/04/27 22:17:12 lI0nWCFt
質問です。
allow_unlink, allow_createが書かれているprofileで、
allow_renameをポリシーエディターで追加しようとしても、追加されません。
これって、相反するものなのでしょうか?
884:LiveCDの中の人
08/04/27 22:59:05 3F2gMlCf
>>883
特に相反とかのチェックはしていませんね。
allow_renameのあとスペースを空けて、
2つのパス名が絶対パスで指定されているかをご確認くださいな。
もしダメならどんなエントリを追加しようとしているか、
ここに書いてもらうのが手っ取り早いかと。
885:login:Penguin
08/04/27 23:26:16 lI0nWCFt
>>884
> >>883
> 特に相反とかのチェックはしていませんね。
> allow_renameのあとスペースを空けて、
> 2つのパス名が絶対パスで指定されているかをご確認くださいな。
>
> もしダメならどんなエントリを追加しようとしているか、
> ここに書いてもらうのが手っ取り早いかと。
あ、二つパスを指定するんですかw
すみません。うまくいきました。
886:login:Penguin
08/04/27 23:27:52 lI0nWCFt
話は違うんですが、
deny_read とか拒否ルールは書けたりは出来ないんでしょうか。。
887:デムパゆんゆん
08/04/28 11:30:29 hSxn4XiQ
>>886
ファイアウォールと一緒で
一個ずつ許可していくんだろ
888:LiveCDの中の人
08/04/28 23:50:31 eFmipwMS
>>886
ポリシーはホワイトリストで、
「上から見ていってあればOK、最後まで見てもなければNG」
というシンプル設計。そのため、「拒否ルール」の記法はありません。ただし、
URLリンク(tomoyo.sourceforge.jp)
の表の一番下の行、「\-」演算子を駆使すればそれらしきことはできます。
めんどいけどね。
889:login:Penguin
08/04/29 11:33:17 SvP2L5b/
>>888
AppArmorは管理ガイドを見る限り、Denyルールを持っているようですね。
TOMOYOはやる気ないのかな。。
890:login:Penguin
08/04/29 14:07:10 SvP2L5b/
\- ですか。ありがとうございます。
891:login:Penguin
08/04/29 15:49:15 SvP2L5b/
しかし、/home/*/Docsをfirefoxで見れなくするために、
以下のように書いたのですが、うまくいきません。
--(exception_policy.conf)---------------------------
initialize_domain /usr/lib/iceweasel/firefox-bin
# snipped..
path_group HOME-DIR /home/taku/\*\-Docs
path_group HOME-DIR /home/taku/\*\-Docs/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*/\*/\*
----------------------------------------------------
--(domain_policy.conf)------------------------------
<kernel> /usr/lib/iceweasel/firefox-bin
use_profile 3
# snipped
6 HOME-DIR
----------------------------------------------------
892:login:Penguin
08/04/29 15:51:18 SvP2L5b/
すみません。
(誤) 6 HOME-DIR
(正) allow_read/write @HOME-DIR
893:デムパゆんゆん
08/04/29 17:35:58 cnJ/AbCs
そりゃうまくいかんだろ
exception_policy.confから
そのパスグループ削除汁
で、合ってたような気が駿河
894:login:Penguin
08/04/29 19:26:08 SvP2L5b/
えーと、
~/Docsだけをfirefoxからアクセスさせたくないんですが、
その場合のパスグループはどう書けばいいんでしょうか。
895:login:Penguin
08/04/29 20:35:14 7I0kaDbH
>~/Docsだけをfirefoxからアクセスさせたくないんですが、
普通は ~/.ssh とかにアクセスさせたくないという理由で
例えば ~/firefox-data 以下の読み書きだけを許可するといった
指定をすると思うのですが・・・。
>その場合のパスグループはどう書けばいいんでしょうか。
path_group の書き方は 891 で合っていると思います。
>use_profile 3
grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して
enforcing と表示されることを確認してください。
exception_policy.conf を編集後には loadpolicy e を、
domain_policy.conf を編集後には loadpolicy d を
実行していますよね?(しないと反映されません。)
あと確認するとしたら、本当に firefox が
<kernel> /usr/lib/iceweasel/firefox-bin
ドメインに属しているかどうかですね。
firefox に学習モード( use_profile 1 )を指定して
firefox から ~/Docs 以下のファイルにアクセスしてみてください。
もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin
ドメインで動作しているのであれば、そのドメインに
firefox からアクセスしたファイルのパス名が追加されているはずです。
896:login:Penguin
08/04/29 23:10:08 SvP2L5b/
お世話になります。
>>895
> 普通は ~/.ssh とかにアクセスさせたくないという理由で
> 例えば ~/firefox-data 以下の読み書きだけを許可するといった
> 指定をすると思うのですが・・・。
おっしゃる通りです。orz
> grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して
> enforcing と表示されることを確認してください。
はい、enfocingと表示されています。
> exception_policy.conf を編集後には loadpolicy e を、
> domain_policy.conf を編集後には loadpolicy d を
> 実行していますよね?(しないと反映されません。)
ccs-editpolicyで編集しているので、即反映だと思われます。
> あと確認するとしたら、本当に firefox が
> <kernel> /usr/lib/iceweasel/firefox-bin
> ドメインに属しているかどうかですね。
> firefox に学習モード( use_profile 1 )を指定して
> firefox から ~/Docs 以下のファイルにアクセスしてみてください。
> もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin
> ドメインで動作しているのであれば、そのドメインに
> firefox からアクセスしたファイルのパス名が追加されているはずです。
はい、確かに学習モードだと /home/taku/Docs/hoge とかがエントリーされます。
897:891
08/04/30 01:14:35 ylW0WDVj
>>896
ちなみに、Debian lenny & TOMOYO 1.6.0です。
898:LiveCDの中の人
08/05/01 00:18:18 SPZt1ZlM
>>896
お聞きする限り正しいようですね。
1点気になる点があるので、「Firefoxからアクセスできてしまう」
というのがどういう状況か詳しく教えてもらえませんか?
TOMOYOの「ディレクトリの読み込み権限はチェックしてない」
という仕様から、
891さんが想定されている動作と異なっているかも知れません。
たとえば、Firefoxに
/home/taku/Docs/hoge
への読み込みアクセスを与えていなくても、Firefoxから
file:///home/taku/Docs/
にアクセスすると、ディレクトリインデックスが表示されて、
hogeというファイルがあることまではわかります
(Docsというディレクトリの読み込みはチェックされないので)。
ディレクトリインデックスでhogeへのリンクをクリックすると
403 Forbiddenになるわけです。
899:896
08/05/01 23:31:43 ul/uALMw
>>898
ご回答ありがとうございます。
確かに、dir listingは見れても、ファイル(例えば*.jpg等)は引っ掛かって見ることが
出来ませんでした。ありがとうございます。
900:login:Penguin
08/05/08 23:17:21 aArXWV97
lkml.orgおかしくないかい?つう話は
数日前にも見た気がします。
901:login:Penguin ◆XkB4aFXBWg
08/05/10 07:56:47 378OV0Qj
SDさんの連載、「TOMOYO Linuxの世界」のWiki化について、tomoyo-devの
クスノさんが残っていた分も転載くださいました。感謝・・・。
URLリンク(tomoyo.sourceforge.jp)
902: [―{}@{}@{}-] login:Penguin
08/05/10 09:44:51 0BQy8+KX
fedora8使ってるんだけど、TOMOYO用のカーネル入れたら、
yum updateとかでカーネルのアップデートができなくならない?
903:login:Penguin
08/05/10 11:12:40 YtCqEUQp
>>902
kernel-2.6.24.5-85_tomoyo_1.6.0.fc8 の方が
kernel-2.6.24.5-85.fc8 よりも新しいバージョンと判断されてしまって、
ディストリビュータのカーネルはインストールされなくなるかもしれません。
ですが、ディストリビュータのカーネルがアップデートされれば
kernel-2.6.24.5-85_tomoyo_1.6.0.fc8 の方が古いバージョンと判断されて
ディストリビュータのカーネルの方がインストールされると思います。
904:login:Penguin
08/05/13 12:10:45 xL7S38Yx
VMwareのCentOS5にインストールしてみたけど、
vmware-config-tools.plで/usr/src/linux/includeが指定されてしまうよ。
前は勝手に/lib/modules/2.6.18-53.1.19.el5/build/includeやら
/usr/src/kernels/2.6.18-53.1.19.el5-i686が指定されてたのに。
どうすりゃいいんだろう。
905:login:Penguin
08/05/15 21:54:28 kwv10gej
>> 904
/usr/src/linux/include が指定されてしまうのは
/lib/modules/`uname -r`/build が存在しないか
デッドリンクになっているからでしょう。
インストールしたのは 2.6.18-53.1.19.el5 ?
それとも 2.6.18-53.1.19.el5_tomoyo_1.6.1 ?
前者なら yum install kernel-devel を実行すれば
/lib/modules/2.6.18-53.1.19.el5/build が
/usr/src/kernels/2.6.18-53.1.19.el5-i686 等を
指すようになるでしょう。後者なら
kernel-devel-2.6.18-53.1.19.el5_tomoyo_1.6.1.i686.rpm
をダウンロードしてインストールしてください。
906:login:Penguin ◆XkB4aFXBWg
08/05/16 09:22:36 mX7VQmYj
自宅で使用しているPCのディスクが壊れてしまい、しばらくご無沙汰していました。
>>716
5/31から「チョコレートの国の侍」というタイトルで、ThinkITさんで
連載いただくことになりました。
907:login:Penguin ◆XkB4aFXBWg
08/05/16 09:26:16 mX7VQmYj
昨夜、TOMOYOのlxrを更新しますた。
URLリンク(tomoyo.sourceforge.jp)
(最新は1.6.1ですが、その前の1.5.4も当面残しておきます)
908:login:Penguin ◆XkB4aFXBWg
08/05/16 09:29:15 mX7VQmYj
5/10にTLUGで、TOMOYOの紹介をしてきましたが、(このあたりのイベント
予定などの情報ははてなのページで確認ください)、Gentooのパッケージに
追加を提案いただけることになりました。TLUGは、外国人の方がほとんど
ですが、とても良い雰囲気です。
909:login:Penguin
08/05/21 18:12:59 WY0F4fBX
ここを会議室にしてみたらと提案して以来盛況になっているこの現実
このスレはWikiにも保存されますか?
910:login:Penguin
08/05/21 20:57:22 WY0F4fBX
メイプルシロップ事件やら鞄事件やらはTOMOYOとは関係なしに
別立てでおもしろおかしく書いてほしいw
911:デムパゆんゆん
08/05/22 12:51:07 wP9dv8BL
おはようございまつ
eclipseにぶちこむプラグイン tomoyo-gui
solaris版のeclipseにぶちこんだが微妙にエラーがでる
srcからエアロバキバキしたい
jp.sourceforge.tomoyo.GUI_1.0.1.v20070713-1200.src.zipに
build.xmlとかない プロジェクトとしてインポートしたいアル。キボンヌ
それとも自動生成アルか?
好了!
912:デムパゆんゆん
08/05/24 01:03:54 N3YMe7n2
URLリンク(lists.sourceforge.jp)
痴話喧嘩ktkr なんだよwwww
ステファン:と と ともよタン! どうしてコード変えたの? ウリの事嫌いニダか! 謝罪と賠償(ry
ともよタン:ん そ そんなつもりぢゃ ないでつ。 あ。。。
S:なんで なんでなの ともよタンのバカ! サンノゼであんなに愛し合ったのに! アレはなんだったの!
T:あぅあぅ
S:もぅ嫌い!
T:ぐあしあぐあしあ (@_@)
こうですね わかります。
つかLKML詠んでないけど なんで変えたんだよw
ステファン先生ご立腹。
ステファンの愛 木お見て森進一
MMパッチ神のお告げで御開帳
ブルハーみたいに
君ちょっと逝ってくれないか 君ちょっとすてごまになってくれないか
いざこざにまきこまれて 泣いてくれないか
LSMも似たようなもんだ ハァハァするには十二分