TOMOYO Linux
..
809:login:Penguin ◆XkB4aFXBWg
08/04/16 01:03:29 PeDWAeKt
>>807
ツルボから始めてみるのはどうかな?
インスコしたり試すのはツルボでなく他の鳥でもできるけれど
ツルボだと、鳥をつくっているチームとTOMOYOチームが合同で
作ったポリシー(サポート不要なら参照は無料)があるから、そこから
始めてみるには良いと思う。
URLリンク(www.turbolinux.co.jp)
810:login:Penguin ◆XkB4aFXBWg
08/04/16 01:08:15 PeDWAeKt
>>808
>LiveCDで学習モードのまま眺めてればなるほどと思うかも
確かに。先日LiveCDのポリシーをlxrにあげますた。
URLリンク(tomoyo.sourceforge.jp)
811:login:Penguin ◆XkB4aFXBWg
08/04/16 01:15:39 PeDWAeKt
隊長、報告が遅くなりまつたが、ELC2008会場に潜入しますた!
Henry Kingmanのキーノートが始まっていまつ。英語です。(笑)
今のところ敵の姿はありません。
何かあれば、どこよりも早くここで報告します。でふぁ
812:login:Penguin ◆XkB4aFXBWg
08/04/16 02:59:53 PeDWAeKt
隊長、TOMOYOセッションについて報告します。
講演用のPCが前日起動しなくなり、システムの復元を行い本番に
備えましたが、講演直前の5分前に再び不調、バックアップ機を
用意しましたが、そちらも原因不明で起動しないという
ありえないほど過酷な状況の中、なんとか本番直前に復帰、講演を完遂しますた。
参加者は約20名、主な質疑はポリシーの記法に関する内容と
初期設定を行うためのツールの有無、CPUアーキテクチャ依存でした。
813:login:Penguin ◆XkB4aFXBWg
08/04/16 06:41:01 PeDWAeKt
LWN.netのJake Edgeの講演が終わりました。
"Avoiding Web Applications Flaws in Embedded Devices"というタイトル
ですが、既に資料が公開されています(TOMOYOの名前もでてきます)。
URLリンク(lwn.net)
といっている間に、中村さんの講演が始まりました。
814:login:Penguin
08/04/16 07:00:47 aGXleYF5
おはようございます。
Jakeのプレゼン資料を見た限りでは組み込み関係なくWebApplication作成時の注意で
それに加えて組み込み系にありがちなURL固定とか認証サボりがあるから余計に注意しろよーって話みたいですねー
で、TOMOYOがあると必要としないモジュールを洗い出すのに便利っすよみたいな感じで触れたのかしら?
それともPathチェック漏れでもTOMOYOが有れば防げるかもみたいな感じかにゃ?
815:login:Penguin ◆XkB4aFXBWg
08/04/16 07:14:36 PeDWAeKt
説明的には、「こうした技術を使えば、OSレベルで被害を軽減することも
できるようだよ」というくらいの感じでした。正直言って、Jakeはあまりこのあたり(セキュアLinux)に
明るくないように見えました。
816:login:Penguin ◆XkB4aFXBWg
08/04/16 07:32:41 PeDWAeKt
中村さんの発表が終わり、まもなく海外さんの発表が始まります。
今日は初日でつが、夜にはセキュアEmbeddedのBOFもあり、一日に
集中してしまいまつた。時差がこたえまつ。中村さんの発表は、
内容はわかったのですが、もともとTOMOYOであれば実現/対応できていること
ばかりのような気がして、「何故あえて(組み込みで)SELinuxでつか?」と
いう疑問が生じてしまいます。
817:login:Penguin
08/04/16 07:44:32 aGXleYF5
>>815
まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。
組み込みじゃないWebApplicationの監査とかやってる人から見れば何を今更な話題なのかも。
悪意のあるユーザーからのリクエストを直接受け付けないから比較的安全と思われてた組み込み形も
ブラウザやらプラグインやらの穴を使ったりしたXSSやらXSRFやらで危険に晒されてるって事が重要なんですよね。多分。
実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにするとWAN側が開いて謎の裏口ID&パスで入れるようになったり(w
一応NTTのメンテナンス用IP帯からしか接続受け付けないようになってるっぽいしデフォルトOFFですが・・・
818:login:Penguin ◆XkB4aFXBWg
08/04/16 07:50:26 PeDWAeKt
>>817
>まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。
そうですね。あと、どうしてLWNの人がこの話題なのかなと思いました。
>実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにすると・・・
ルータ(英語の発音だと「ラウター」に近い)はよくやられるという
話がでていました。
海外さんの話が始まりましたが、「そもそもセキュアOSとは」とか
「Protection Profileとは」というところから始めています。(@_@; びっくり
819:login:Penguin ◆XkB4aFXBWg
08/04/16 07:58:24 PeDWAeKt
>>816
やはりTOMOYOはまだまだ知られていなくて、組み込み分野を含めて
本当はTOMOYOだとうまく解決できる場合もそれに気づいてもらえていないのか
と思います。そういった意味でもメインライン化はやはりどうしても
なしとげたいです。
会議に出る目的のひとつは、TOMOYOを含めたセキュアOSに対する「温度」を
はかることで、講演の参加者と質疑が参考情報です。今年は昨年よりは確実に
高まっていると思いますが、まだ一部の人という印象です。
820:login:Penguin ◆XkB4aFXBWg
08/04/16 08:06:02 PeDWAeKt
さきほど、LXRにversion 1.6.0を追加しました。1.6.0は1.5.3との
差分が大きいため当面は両方とも残しておきます。
URLリンク(tomoyo.sourceforge.jp)
version 2.Xは、ちょっと中途半端な状態になっているため、
帰国後整理した上で追加します。
821:login:Penguin
08/04/16 08:09:22 /Z5CkmBk
TOMOYOじゃなくてYaSELinuxとかにしたら一気に普及してたかもなw
822:login:Penguin ◆XkB4aFXBWg
08/04/16 08:16:16 PeDWAeKt
>>821
最初は失敗したと思いましたが、なんだかんだ名前が注目されたことにより、
ここまで(メインラインに挑戦できるまで)こられた部分があるように思います。
YaSELinuxだとその点、やや微妙かも。またSELinux陣営が許さないでしょうw
823:login:Penguin ◆XkB4aFXBWg
08/04/16 08:24:51 PeDWAeKt
7回目の提案のスレッドで、こんな図を投稿しています。
URLリンク(article.gmane.org)
AppArmorやTOMOYO Linuxはnamespaceの世界で処理をしていて、
VFSやLSMではinodeの世界です。残念ながらnamespaceの世界は、
その中だけでは完結せず、二つの世界をブリッジするためにvfsmountの
パラメータを渡せるようにしたいというのがoption 1ですが、VFSの
Al Viloがくせ者でウンといいません。optoin 2はそれをせずにフックを
追加「させてもらう」で、4/4の投稿はそのどちらでもなく、LSMとは別の
仕組み(フックセット)を提案した形でいろいろ怒られました。
824:login:Penguin ◆XkB4aFXBWg
08/04/16 08:30:41 PeDWAeKt
メインライン化がなかなか進展しない理由のひとつは、メンテナ間の関係が
見えないことにあると思っています。特定のモジュールに閉じた話だと
簡単ですが、このように複数に関わり、かつ発言しないメンテナがいる状態だと
どう進めるかが難しく、あちらたてればこちらたたずというか常に誰かに
反対されます。皆自分のところに自分が必要と思わない変更をしたくないからです。
# 海外さんの発表はついにPOSIX Capabilitiesのページにきました。
825:login:Penguin
08/04/16 08:43:46 aGXleYF5
>>818
確かにラウターですね(w
遠い昔、某橋のロゴの中の人がそんな感じの発音してますた。
ルータは設定変更する事でWAN側からLAN側に進入するのに使えますし、
24時間電源が入ってますから攻撃の踏み台としても旨いのでしょうねぇ。
IPアドレスも192.168.*.1辺りでほぼ固定ですし。(0,1,11,2辺りがメジャー)
さらにまずいことに設定の容易化の為に意図的に固定したDNS名とかを付けちゃったりするのでより厄介っすな。
例: NEC "web.setup" I-O "airport" NTT(oki) "ntt.setup"など
TOMOYOが有効なら最悪でもルータ自体に変な卵を植え付けられるのを防げるかな?
# 非正規ファームでシステム全体を乗っ取られた場合を除く
最近のネタだとFlashが接続先を限定しないのを悪用してUPnPを使ってポートを強制解放とかいうネタがありましたな。
UPnPが信頼したネットワークからの通信のみを想定して認証を捨て、一方通行でもおkにしたのが仇になったというかなんというか。
# オフトピばっかでごめんよー
>>824
大規模オプソの負の面なんでしょうかね?
GUI周りなんかでもそうですけど、横(プロダクト・モジュール間)の繋がりがよろしくないんですよね。
簡単な例だとカラーマネジメントとか未だにどうなっちょるねんって感じ。
826:login:Penguin ◆XkB4aFXBWg
08/04/16 08:57:02 PeDWAeKt
>>825
>TOMOYOが有効なら最悪でもルータ自体に変な卵を植え付けられるのを防げるかな?
鋭いですね。組み込みの場合は、外部不正アクセス全体を神経質にはじくと
いうよりは、特に重要な操作を保護する形が一般的だと思っています。
>大規模オプソの負の面なんでしょうかね?
このあたりは我々にはわからない微妙なメンテナの力関係があるようで、
StephenでもAl Viloに指図はできないようです。おそらくTOMOYO以外でも
複数のメンテナやシステム全体に関わる変更であれば同じようなことが
起きているはず。
Linusが一喝するという解は存在しますが、それを意図的に起こすことは
難しく、だとすると世論?で流れを作るのが現実的かと思っていて、
そのような誘導をしているわけです(深いでしょ?(笑))
/etc/shadowのような各論は、ちゃんと議論したらおそらく負けないのですが、
相手が不特定多数かつ根拠がなかったり感情的な発言をして逃げてしまう人などが
いますし、過去のスレッドを見ても結論がでずにもめて終わるケースが多いと
思っています。白黒つけるにはmlは向いていません。
827:login:Penguin
08/04/16 09:20:29 aGXleYF5
>>826
まぁ、彼(Al Viro)の言い分としては俺より上の情報が欲しいならそっちで対応しろって感じかバグとかソース肥大化とかレスポンス低下とかが嫌って感じでしょうかね。
後>>823の絵に現状を追記して如何に歪か強調しておくとか(笑)
例えばこんな感じで URLリンク(www.imgup.org)
# 色々エラソーな事言ってましたがLinuxカーネル周りの理解度が足りてないので変な可能性あり。
828:login:Penguin ◆XkB4aFXBWg
08/04/16 09:27:26 PeDWAeKt
>>827
楽しい絵をありがとうございました(笑)。
ただ、このあたりの加減が難しくてやりすぎると逆効果になりますし、
ジョークや遊びもはずしてしまうと大変寒い思いをします(経験あり)。
LKMLの発言自体も一種の流儀があって、このごろやっとそれがわかってきました。
Alの場合は、熊猫先生によると「思想、考え方(好き嫌い?)」的な反対
されているようで、まもとな議論すらさせてもらえない状況です。
829:login:Penguin ◆XkB4aFXBWg
08/04/16 09:35:35 PeDWAeKt
話は変わって、4/18に発売されるSoftware Designに「TOMOYO Linuxの歩き方(後編)」が
掲載されますが、結構画期的な記事になっています(笑)。
正直、「ちょっと書きすぎた」かもしれません。是非前編と併せてお読みください。
830:デムパゆんゆん円高まんせ〜
08/04/16 09:41:23 gcOHAMwF
>selinuxに挫折したオレ
>サルでもわかるTOMOYOってどこかにない?
ってLKMLに放火していいでつかそうですねだめでつね
なんかスレ伸びてるなぁと思ったら
イラクの自由作戦みたく波状攻撃でつか
別働隊はどこかで攻撃してるのでつね
>白黒つけるにはmlは向いていません。
そこで、連日罵倒大会絶賛開催中の某巨大掲示板
メンテナの買収だなw 金がだめなら女だ
だた様の資金力を持って全力でLKML特攻
アルビノの買収はだな LSMが出来た頃どういう立場にあったとか
思想信条 背景調べて うん
ちょっとCTU逝って来る
831:login:Penguin
08/04/16 09:47:29 aGXleYF5
今更ですけど、私はLSM周りの議論も追いかけ切れてないしTOMOYOのソースも把握してない一般&初心者ユーザーよりの名無しさんなのでスルーしたほうがよい事もあります。
# TOMOYOの上層での概念(名前空間によるMAC)を理解して、こう動いてるだろうというのを妄想しているだけです。
## どうやらこの名無しさんはブラックボックステストのやりすぎで妄想屋さんになっちゃったようです。
あの絵を更にプレゼンぽくするならAppArmorやTOMOYOの箱をLSMの箱から飛び出させてnamespace空間辺りから矢印を引っ張る手もありますな。
後Before/AfterみたいにしてAlが対応してくれたらスッキリするんだよっという点を強調したりとか。
まぁ、Al Viro氏と直接関係するのはLSM全体のChris Wright氏のようなのでChris氏経由になるでしょうが。
ただ、>>828によると思想で好き嫌いっぽいし場の雰囲気も商談(?)とは違うっぽいのでなかなか厳しいですかね。
気分屋さんとお付き合いするのは私は苦手だなー
>>829
試しに前編読んで役立ちそうなら買ってみますー。まだ残ってるかなぁ?
なければ図書館で複写サービスのお世話になりますか。
とにもかくにも色々頑張ってください。
# 俺も頑張らなきゃー
832:login:Penguin ◆XkB4aFXBWg
08/04/16 10:39:12 PeDWAeKt
>>830
>なんかスレ伸びてるなぁと思ったら
本当は到着初日からレポートする予定でしたが、ホテルのネットワークから
だと規制されていて書き込みができなかったのです。
>そこで、連日罵倒大会絶賛開催中の某巨大掲示板
ここにいろいろ書いているのは、なんとなく書いたことが理解されているように
思うからです。日本語的にはいろいろ問題がありますが(笑)、言葉の
はしはしにそれを感じます。冗談抜きでこんな感じでLinuxの仕様について
議論できる場があれば良いと思いますよ。
833:login:Penguin ◆XkB4aFXBWg
08/04/16 10:45:35 PeDWAeKt
>>831
実はあの図は、上に書かれていることを暗黙のうちに主張しています。
メンテナの名前は本来不必要ですが、いれているのはChrisが何もして
くれないということを訴えていますし、整理された図を見ると
「なんだ、Alがvfsmount受けてやればいいんじゃん」と気づくはずです。
>試しに前編読んで役立ちそうなら買ってみますー。まだ残ってるかなぁ?
少なくともバックナンバーは買えます。(^-^;
前編の内容は各種情報源の紹介で、いわば観光名所の紹介です。この板を
見に来ている人なら半分くらいは既におなじみだと思います。
後編はただ場所ではなく目的ごとの「読み方」を扱っており、そのほか
デラックス付録として「名前の由来」について書いています。と言っても
別に最初から隠しておらずこれまでも機会あるごとに説明した内容ですが。
834:デムパゆんゆん円高まんせ〜
08/04/16 11:09:01 gcOHAMwF
よくあるネタ
クリスは置き物で アルビノの後ろにラスボスが
じつわ神であった。 二人はア"ッーな関係
スマックやselinuxの中の人はLSM
どう思ってるのかしらん
セキュア陣営で共同戦線!!!とか
われわれはぁ 断固抗議するアル
抵抗勢力はぶっつぶすとかww
selinux出てきたときも猛烈な反発あった気が駿河
で、出てきたのが上にもあるようにLSM通してそっちでやって栗と
835:login:Penguin ◆XkB4aFXBWg
08/04/16 11:36:23 PeDWAeKt
「今」こちらの時間で4/14 19:32です。
"security BoF"が始まりましたが、日本人は中村さん、海外さんを
含めて6名、日本人以外は4名という構成です、
と書いていたらMontaVistaのHadiが入ってきて今挨拶をしました(実況中継みたい)。
836:login:Penguin ◆XkB4aFXBWg
08/04/16 11:40:33 PeDWAeKt
TOMOYOプロジェクトは過去何回かJapan Technical Jamboreeに参加して
いますが、セキュアOSに関する知識や関心は国内はかなり高いと思います。
SELinuxでもSmackでも良いから、国内の組み込みで積極的に導入して、
海外のユーザをリードしていく、くらいだと良いのですが。
837:デムパゆんゆん円高まんせ〜
08/04/16 18:44:39 gcOHAMwF
今頃、ダメリカ特攻隊はサンノゼの空飛んでる夢見てるんでつね
リードするなら釣るネタいりまつ
selinuxにしても現状漠然としたイメージ わかりやすい事例とか
目立でちょっとしゃちょ〜つかまえてだな
協業相手見つけたから プレス撃てと
selinuxでOO社と協業することに 採用事例もうんぬん
組み込み STBとかケータイとかかのぅ?
車業界も最近同業他社でモジュール共通化とか 今頃言い出したし
車はカーナビとか ほとんどWANだ 防御にはいいかしらん?
itproで linuxのセキュリティー界隈に変化が! とか記事出して
日経linuxで来月号 緊急増刷 10ページ追加
linuxのセキュリティーの今!
セキュア陣営を筆頭にlkml新たな動き!
今まで挫折を繰り返したあなた selinuxがこんなにも簡単に導入!とか
煽って煽ってだな メディア戦略おけ〜www
それでふぁ 再潜行 ブクブクブクブク
838:login:Penguin
08/04/16 23:59:21 JHS2xGmI
うぅむ…。 日常やるコンパイルは監視させたくない(make なんかでドメインが
大増殖するから)けど、 firefox とか skype とかのネットにつながるものの動
きは監視しときたい。とすると、 initialize_domain を連発するしかないのか
なぁ…。
839:login:Penguin ◆XkB4aFXBWg
08/04/17 03:27:42 mbLpQzdf
>>838
initialize_domainの効果は、複数の起動形態を持つものを同一の
ドメインとして扱う、および<kernel>直下のドメインになるということで、
アクセス制御の内容自体とは直接関係しません。
LiveCDでは<kernel>ドメインのみを学習モードのプロファイルとして
定義していますが(この板の上のほうを参照ください)、監視(制御)したい
ドメインを「陽に」制御するプロファイルで書いておくと、やりたいことが
実現できます。(この説明でぴんとこなければまた質問ください)
840:login:Penguin ◆XkB4aFXBWg
08/04/17 03:33:10 mbLpQzdf
さきほどAndrew Mortonのキーノートが終わりました。
生Mortonを至近距離で見ました(笑)が、「なんでも俺に相談しろ
(Ask me!)」と強調されていました。お話しようと思ったのですが、
すぐにたくさんの人に囲まれて(ディズニーランドのミッキー状態)
まだアクセスできていません。がんばります(何を?)
841:login:Penguin
08/04/17 14:57:07 BWf/C86W
やっぱり、 initialize_domain連発したくなるよなあ。
842:login:Penguin
08/04/17 21:54:56 eiQcPVPB
一般の用途だとほんとに監視したいのはネットにつながる子が変なことしないか、だけだからねぇ…
843:login:Penguin ◆XkB4aFXBWg
08/04/18 00:46:23 YFqemKaX
>>841
>>842
initialize_domain連発しても全然問題ないですよ。
「必要なところ(ドメイン)を見極めてしっかり守り、それ以外は
学習、あるいは無効モードで」というのが現実的な運用スタイルだと
思います。
844:login:Penguin ◆XkB4aFXBWg
08/04/18 01:32:28 YFqemKaX
URLリンク(lwn.net)
845:login:Penguin
08/04/18 01:41:32 PtogwsB7
おお、なかなか興味深い事態に。
846:login:Penguin ◆XkB4aFXBWg
08/04/18 01:51:07 YFqemKaX
>>845
そう。その通り。
URLリンク(thread.gmane.org)
URLリンク(d.hatena.ne.jp)
847:LiveCDの中の人
08/04/18 02:10:37 YFqemKaX
>>841
>>842
1つの手段として、
keep_domain <kernel>
してしまってすべてのドメインをデフォルトでわけないようにしておき、
initialize_domain /usr/bin/firefox
initialize_domain /usr/bin/skype
でfirefoxとskypeだけを特別扱いする、という手段があります。
TOMOYOは「すべてのexecで自動的にドメインを分ける」のがデフォルトで、
ユーザが意識せずともアクセス制御の単位を細かく切り分けるのが特徴ですが、
逆にこれが鬱陶しい場合は上記のように思い切ってkeep_domainするのがおすすめです。
(いずれにせよ「分けるのがデフォルト」なので、initialize_domainの連発は必要ですが)
848:login:Penguin ◆XkB4aFXBWg
08/04/18 02:21:35 YFqemKaX
以前も書きましたが、「こんなことできないの?」と思いつくような
ことはだいたい実現されているのではないかと思います。
実現されていない場合は、内容を検討して、有用であれば実装されるかも
しれません。
疑問、質問、どんな内容でも良いですから気軽に書き込みください。
849:login:Penguin
08/04/18 06:11:46 cOa8NbkQ
ツバサクロニクル系というか魔法剣士系の採用はありますか?
850:login:Penguin
08/04/18 06:12:25 cOa8NbkQ
てかMOKONA Linuxはいただいた!
851:login:Penguin ◆XkB4aFXBWg
08/04/18 07:26:18 YFqemKaX
>>849
「採用はありますか」の意味が不明のため回答不能です。
>>850
てかさしあげようがありません。
>>848
>疑問、質問、どんな内容でも良いですから気軽に書き込みください。
「TOMOYO Linuxに関する疑問、質問」であれば「どんな内容でも」という
ことです。
852:デムパゆんゆん
08/04/18 23:09:52 VTKRkwhl
回答不能でバッファオ〜バ〜フロ〜発生
ばぁぶぅ〜
853:login:Penguin
08/04/18 23:10:32 cOa8NbkQ
神が気分を害されたw
854:デムパゆんゆん
08/04/19 00:03:26 ZON2E7Cb
気分を害されたのでつね
神様申し訳有馬温泉
どうすれば? もぅいいクビだ
・・・・・。
職安逝って来る
さて、バッファオ〜バ〜フロ〜でつ
学習モ〜ドでふぁログをガリガリと書いていきまつ
禁欲モ〜ドでどうなるニダね
常用環境で試して どうなろうと僕はしりましぇん
こ〜ゆ〜のは業界でテストケ〜スと課言うんでつか
バッファオ〜バ〜フロ〜起こさせるようなプログラムないか
ちょっとCTU行ってくる
855:login:Penguin ◆XkB4aFXBWg
08/04/19 23:19:07 J3xqYE8V
>>853
気分を害したわけではありません(それ以前に「神様」もないけど)。
基本的にここに書き込んでくれた人には返事をしたいと思っていますが、
「採用」がTOMOYOを使ってみたい、あるいは開発に参加したいの意味か
不明で返答ができなかったということです。
>>851
>「TOMOYO Linuxに関する疑問、質問」であれば「どんな内容でも」という
と書いた意図は、それ以外を書かれると、「返してあげたくても返して
あげられない(心苦しい)」ということです。
856:login:Penguin ◆XkB4aFXBWg
08/04/19 23:22:59 J3xqYE8V
>>854
雇ってないので大丈夫です。
>学習モ〜ドでふぁログをガリガリと書いていきまつ
>禁欲モ〜ドでどうなるニダね
>常用環境で試して どうなろうと僕はしりましぇん
サーバはしにましぇん。クラックされてもしにましぇん。
もともと常用環境で使うのが本来なのでつ。禁欲モ〜ドでいくには、
ちゃんとぽりすぃ違反を監視して、対処できるようにしておかなければ
いけましぇん
857:login:Penguin ◆XkB4aFXBWg
08/04/19 23:30:33 J3xqYE8V
>>854
>常用環境で試して どうなろうと僕はしりましぇん
ばかやろー
リスクを恐れていてセキュアOSが導入できるか!(ごるぁ)
━━( ゚Д゚)凸━━ !!
デムパ、逝ってよし!あとは俺たちに任せろ(俺たちって誰だ?)
858:login:Penguin ◆XkB4aFXBWg
08/04/19 23:33:41 J3xqYE8V
自分で書いたものを自分で読んでびっくりかつ自己嫌悪だが、
しかし、本当にそういうことなのだよ。おまいならわかってくれると信じる。
>デムパ
859:login:Penguin ◆XkB4aFXBWg
08/04/20 15:45:22 s3pqM0To
URLリンク(lists.sourceforge.jp)
LWN.netのJonathanの記事の日本語訳です。
860:login:Penguin
08/04/20 21:53:04 mkNbjbzD
ふむぅ…許可ログが溢れる。
何故許可ログが/var/log/tomoyo/reject_log.txtに書き込まれるのじゃろう。
MAX_GRANT_LOG=0にしても書き込まれる。
カーネル再構築の際にMAX_GRANT_LOGの標準値を0にしても書き込まれる。
Vine4.2、TOMOYOタンは1.6.0。
TOMOYOタンが1.5.xの頃は書き込み抑制できたのに…。
我が悪いのか我が悪いのか我が悪いのかorz
861:login:Penguin ◆XkB4aFXBWg
08/04/20 21:59:21 s3pqM0To
>>860
version 1.6では多数の機能追加だけでなく、LKML提案のための
コーディングスタイルの変更が行われており、もしかしたらそれが関係した
デグレードの可能性もあります。
URLリンク(lists.sourceforge.jp)
もし可能ならもう少し具体的な情報をお知らせください。
862:デムパゆんゆん
08/04/21 00:37:12 /9Akzjvg
>常用環境で試して どうなろうと僕はしりましぇん
あ、本番環境とかそういうつもりじゃないです。
普段、家で会社でいつも使うという意味の常用です。
網走刑務所のお勤め終わりました。 やっとプロバイダ全規制解除
863:login:Penguin ◆XkB4aFXBWg
08/04/21 07:46:38 6Gdqvlo3
>>862
デムパもどき??? (@ @;
864:デムパゆんゆん
08/04/21 20:35:06 HuS1sRX3
10分でまた全規制になりました。
自分は網走でお勤めです。
SD今月号読みました。
神様芥川賞取れそうな文才全開
シーズン2もみたいアル。
もどきじゃねぇ本人だ。
ばぶぅ
865:login:Penguin
08/04/21 21:10:53 coMEImMD
boincで、wcgしてます。
initialize_domain /usr/bin/boinc_client
をexception_policy.conf
に入れて、
# ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
たたいても、boinc_clientからforkされる wcg_hpf2_rosetta_5.20_i686-pc-linux-gnu とかは
無視されるんですね。
866:865
08/04/21 22:24:43 ys16n8Hu
失礼、2だった。
867:860
08/04/21 22:28:37 cnfwqPC3
>>861
ふむぅ…なんとお伝えしたらよいのやら(汗)
取り合えず書き環境どす。
ディス鳥:Vine4.2
コンパイル前uname -a:2.6.16-0vl76.33 #1 SMP Sun Apr 20 20:58:37 JST 2008 i686 i686 i386 GNU/Linux
コンパイル後uname -a:2.6.16-0vl76.33-ccs-1.6.0 #1 SMP Sun Apr 20 20:58:37 JST 2008 i686 i686 i386 GNU/Linux
#apt-get install kernel-source
#cd /usr/src/linux-2.6.16
#wget URLリンク(osdn.dl.sourceforge.jp)
#tar zxvf ccs-patch-1.6.0-20080401.tar.gz
#patch -sp1 < /patches/ccs-patch-2.6.16-0vl76.33.diff
#cp /boot/config .config
#make oldconfig(→ここでMAX_GRANT_LOGの部分を0)
#make menuconfig(→ここでMAX_GRANT_LOGが0になっていることを確認)
#make -s
#make modules_install
#cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.16-0vl76.33-ccs-1.6.0
#cp System.map System.map-2.6.16-0vl76.33-ccs-1.6.0
#mkinitrd /boot/initrd-2.6.16-0vl76.33-ccs-1.6.0.img 2.6.16-0vl76.33-ccs-1.6.0
カーネル再構築はここまで(後は適度にgrubを修正)。
868:860
08/04/21 22:30:36 cnfwqPC3
全文記載弾かれたので分けました。
後はccs-toolsをダウンロードしてmake -C ccstools/ all install。
#init_policy.sh --file-only-profile
#echo "/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt" >> /etc/rc.d/rc.local
#mkdir -p /var/log/tomoyo
取り合えず行った作業は上記まで。
その後リブートしたのですが/var/log/tomoyo/reject_log.txtには許可ログがべっとり。
/etc/ccs/profile.confに「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。
loadpolicy -pは実行済み。
その後に再起動かけてもべっとり。
例)
#2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0
<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi
use_profile 0
取り合えず現状こんな感じです。
カーネル再構築自体は成功しています。
拒否モードにするときちんと動作を拒否してくれています。
869:860
08/04/21 22:47:56 cnfwqPC3
ちなみにprofile.confは…
# cat profile.conf
0-COMMENT=-----Disabled Mode-----
0-MAC_FOR_FILE=disabled
0-TOMOYO_VERBOSE=disabled
0-MAX_GRANT_LOG=0
0-RESTRICT_MOUNT=enabled
0-DENY_CONCEAL_MOUNT=enabled
0-RESTRICT_CHROOT=enabled
1-COMMENT=-----Learning Mode-----
1-MAC_FOR_FILE=learning
1-TOMOYO_VERBOSE=disabled
1-MAX_GRANT_LOG=0
1-RESTRICT_MOUNT=enabled
1-DENY_CONCEAL_MOUNT=enabled
1-RESTRICT_CHROOT=enabled
2-COMMENT=-----Permissive Mode-----
2-MAC_FOR_FILE=permissive
2-TOMOYO_VERBOSE=enabled
2-MAX_GRANT_LOG=0
2-RESTRICT_MOUNT=enabled
2-DENY_CONCEAL_MOUNT=enabled
2-RESTRICT_CHROOT=enabled
3-COMMENT=-----Enforcing Mode-----
3-MAC_FOR_FILE=enforcing
3-TOMOYO_VERBOSE=enabled
3-MAX_GRANT_LOG=0
3-RESTRICT_MOUNT=enabled
3-DENY_CONCEAL_MOUNT=enabled
3-RESTRICT_CHROOT=enabled
870:login:Penguin ◆XkB4aFXBWg
08/04/21 23:12:29 6Gdqvlo3
>>865
># ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
# ccs-setprofile -r 2 '<kernel> /usr/bin/boinc_client' です。
参考
URLリンク(tomoyo.sourceforge.jp)
871:login:Penguin ◆XkB4aFXBWg
08/04/21 23:19:22 6Gdqvlo3
>>860
開発メンバーに報告しましたのでしばらくお待ちください。(_ _)
872:デムパゆんゆん
08/04/22 00:14:46 XsdpoNQq
24しますた
873:login:Penguin
08/04/22 00:35:51 nBaXrVo3
>>870
> >>865
> ># ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
> # ccs-setprofile -r 2 '<kernel> /usr/bin/boinc_client' です。
>
> 参考
> URLリンク(tomoyo.sourceforge.jp)
なるほど、失礼致しました。ありがとうございます。
874:login:Penguin
08/04/22 06:32:31 BZrfz1S8
>>868
>/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt
ccs-auditd に渡す2つのパス名の内、
1つめが許可ログ(ポリシーに存在しているアクセス要求のログ)の保存場所、
2つめが拒否ログ(ポリシーに存在していないアクセス要求のログ)の保存場所です。
ですので、拒否ログ( /var/log/tomoyo/reject_log.txt )を出力させたくない場合には
>「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。
ではなく、
「プロファイル番号-MAX_REJECT_LOG=0」を指定ください。
>#2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0
><kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi
>use_profile 0
これは正常なログです。 /bin/bash から /bin/vi が実行されたことにより、
<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi というドメインが
新規作成され、プロファイル番号として 0 が割り当てられたというログです。
1.6.0 では、学習モードを使わなくても拒否ログから学習モードと同等の結果を
得られるようにするために、ドメインが新規作成された時に上記のようなログを
拒否ログとして出力するようになりました。
875:login:Penguin ◆XkB4aFXBWg
08/04/22 06:37:19 WnxtELB+
>>874
>ドメインが新規作成された時に上記のようなログを
拒否ログとして出力するようになりました。
を抑制することはできないのですか?
876:login:Penguin ◆XkB4aFXBWg
08/04/22 07:55:46 WnxtELB+
>>875
1.6のポリシーリファレンスを見る限り現状は対応していないのかしらん
URLリンク(tomoyo.sourceforge.jp)
877:login:Penguin
08/04/22 13:36:16 DRUyJgxS
Macに対応してみても良いのでは。
878:860
08/04/22 21:25:08 e/LuciY4
>>874
ありゃ…吐き出し方が変わっていたとですか。
学習ログと許可ログをゴッチャにしてたとです。
取り合えず現状この状態が「正常」ということで認識しておきますです。
個人的には>>875も言っておりますが…
学習吐き出し
許可吐き出し
拒否吐き出し
を単体、もしくは組み合わせて吐き出せるような仕様が欲しいのです。
879:デムパゆんゆん
08/04/23 00:17:07 iieJvJWr
解除復活アル
ぐあしあぐあしあ
880:デムパゆんゆん
08/04/23 00:22:38 iieJvJWr
>>878
網走は寒かったでつ
ログ吐き出し なんか整形ツールあれば良いでつね
そうだ snmpでつないでhinemosで管理 弊社のトータルソルーションでありまつwww
ログがたまるの嫌ならcronとか回して
タ〜で固めるのだめニダか?(@@)
881:login:Penguin
08/04/23 02:38:18 AaDa6A91
>>880
ログが溜まるのはよかとですたい。
むしろ「お兄ちゃん見て見て!ログが少し大きくなったの」的な妄想ができますたい。
だがお兄ちゃん脳の記憶領域が残り3byteしか空き容量が無いので新しい仕様を覚えることに一苦労なのです。
欲望だけが沸き続けるのは人間の性。
882:デムパゆんゆん
08/04/23 10:17:26 iieJvJWr
>>881
お おにぃちゃん おなかがくるしいよぉ
なにがはいってるのぉ
DS大人の脳トレーニングで
脳内再起動
>>856
>雇ってないので大丈夫です。
送った履歴書がUターンしてきたようでつ ふへ
883:login:Penguin
08/04/27 22:17:12 lI0nWCFt
質問です。
allow_unlink, allow_createが書かれているprofileで、
allow_renameをポリシーエディターで追加しようとしても、追加されません。
これって、相反するものなのでしょうか?
884:LiveCDの中の人
08/04/27 22:59:05 3F2gMlCf
>>883
特に相反とかのチェックはしていませんね。
allow_renameのあとスペースを空けて、
2つのパス名が絶対パスで指定されているかをご確認くださいな。
もしダメならどんなエントリを追加しようとしているか、
ここに書いてもらうのが手っ取り早いかと。
885:login:Penguin
08/04/27 23:26:16 lI0nWCFt
>>884
> >>883
> 特に相反とかのチェックはしていませんね。
> allow_renameのあとスペースを空けて、
> 2つのパス名が絶対パスで指定されているかをご確認くださいな。
>
> もしダメならどんなエントリを追加しようとしているか、
> ここに書いてもらうのが手っ取り早いかと。
あ、二つパスを指定するんですかw
すみません。うまくいきました。
886:login:Penguin
08/04/27 23:27:52 lI0nWCFt
話は違うんですが、
deny_read とか拒否ルールは書けたりは出来ないんでしょうか。。
887:デムパゆんゆん
08/04/28 11:30:29 hSxn4XiQ
>>886
ファイアウォールと一緒で
一個ずつ許可していくんだろ
888:LiveCDの中の人
08/04/28 23:50:31 eFmipwMS
>>886
ポリシーはホワイトリストで、
「上から見ていってあればOK、最後まで見てもなければNG」
というシンプル設計。そのため、「拒否ルール」の記法はありません。ただし、
URLリンク(tomoyo.sourceforge.jp)
の表の一番下の行、「\-」演算子を駆使すればそれらしきことはできます。
めんどいけどね。
889:login:Penguin
08/04/29 11:33:17 SvP2L5b/
>>888
AppArmorは管理ガイドを見る限り、Denyルールを持っているようですね。
TOMOYOはやる気ないのかな。。
890:login:Penguin
08/04/29 14:07:10 SvP2L5b/
\- ですか。ありがとうございます。
891:login:Penguin
08/04/29 15:49:15 SvP2L5b/
しかし、/home/*/Docsをfirefoxで見れなくするために、
以下のように書いたのですが、うまくいきません。
--(exception_policy.conf)---------------------------
initialize_domain /usr/lib/iceweasel/firefox-bin
# snipped..
path_group HOME-DIR /home/taku/\*\-Docs
path_group HOME-DIR /home/taku/\*\-Docs/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*/\*/\*
----------------------------------------------------
--(domain_policy.conf)------------------------------
<kernel> /usr/lib/iceweasel/firefox-bin
use_profile 3
# snipped
6 HOME-DIR
----------------------------------------------------
892:login:Penguin
08/04/29 15:51:18 SvP2L5b/
すみません。
(誤) 6 HOME-DIR
(正) allow_read/write @HOME-DIR
893:デムパゆんゆん
08/04/29 17:35:58 cnJ/AbCs
そりゃうまくいかんだろ
exception_policy.confから
そのパスグループ削除汁
で、合ってたような気が駿河
894:login:Penguin
08/04/29 19:26:08 SvP2L5b/
えーと、
~/Docsだけをfirefoxからアクセスさせたくないんですが、
その場合のパスグループはどう書けばいいんでしょうか。
895:login:Penguin
08/04/29 20:35:14 7I0kaDbH
>~/Docsだけをfirefoxからアクセスさせたくないんですが、
普通は ~/.ssh とかにアクセスさせたくないという理由で
例えば ~/firefox-data 以下の読み書きだけを許可するといった
指定をすると思うのですが・・・。
>その場合のパスグループはどう書けばいいんでしょうか。
path_group の書き方は 891 で合っていると思います。
>use_profile 3
grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して
enforcing と表示されることを確認してください。
exception_policy.conf を編集後には loadpolicy e を、
domain_policy.conf を編集後には loadpolicy d を
実行していますよね?(しないと反映されません。)
あと確認するとしたら、本当に firefox が
<kernel> /usr/lib/iceweasel/firefox-bin
ドメインに属しているかどうかですね。
firefox に学習モード( use_profile 1 )を指定して
firefox から ~/Docs 以下のファイルにアクセスしてみてください。
もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin
ドメインで動作しているのであれば、そのドメインに
firefox からアクセスしたファイルのパス名が追加されているはずです。
896:login:Penguin
08/04/29 23:10:08 SvP2L5b/
お世話になります。
>>895
> 普通は ~/.ssh とかにアクセスさせたくないという理由で
> 例えば ~/firefox-data 以下の読み書きだけを許可するといった
> 指定をすると思うのですが・・・。
おっしゃる通りです。orz
> grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して
> enforcing と表示されることを確認してください。
はい、enfocingと表示されています。
> exception_policy.conf を編集後には loadpolicy e を、
> domain_policy.conf を編集後には loadpolicy d を
> 実行していますよね?(しないと反映されません。)
ccs-editpolicyで編集しているので、即反映だと思われます。
> あと確認するとしたら、本当に firefox が
> <kernel> /usr/lib/iceweasel/firefox-bin
> ドメインに属しているかどうかですね。
> firefox に学習モード( use_profile 1 )を指定して
> firefox から ~/Docs 以下のファイルにアクセスしてみてください。
> もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin
> ドメインで動作しているのであれば、そのドメインに
> firefox からアクセスしたファイルのパス名が追加されているはずです。
はい、確かに学習モードだと /home/taku/Docs/hoge とかがエントリーされます。
897:891
08/04/30 01:14:35 ylW0WDVj
>>896
ちなみに、Debian lenny & TOMOYO 1.6.0です。
898:LiveCDの中の人
08/05/01 00:18:18 SPZt1ZlM
>>896
お聞きする限り正しいようですね。
1点気になる点があるので、「Firefoxからアクセスできてしまう」
というのがどういう状況か詳しく教えてもらえませんか?
TOMOYOの「ディレクトリの読み込み権限はチェックしてない」
という仕様から、
891さんが想定されている動作と異なっているかも知れません。
たとえば、Firefoxに
/home/taku/Docs/hoge
への読み込みアクセスを与えていなくても、Firefoxから
file:///home/taku/Docs/
にアクセスすると、ディレクトリインデックスが表示されて、
hogeというファイルがあることまではわかります
(Docsというディレクトリの読み込みはチェックされないので)。
ディレクトリインデックスでhogeへのリンクをクリックすると
403 Forbiddenになるわけです。
899:896
08/05/01 23:31:43 ul/uALMw
>>898
ご回答ありがとうございます。
確かに、dir listingは見れても、ファイル(例えば*.jpg等)は引っ掛かって見ることが
出来ませんでした。ありがとうございます。
900:login:Penguin
08/05/08 23:17:21 aArXWV97
lkml.orgおかしくないかい?つう話は
数日前にも見た気がします。
901:login:Penguin ◆XkB4aFXBWg
08/05/10 07:56:47 378OV0Qj
SDさんの連載、「TOMOYO Linuxの世界」のWiki化について、tomoyo-devの
クスノさんが残っていた分も転載くださいました。感謝・・・。
URLリンク(tomoyo.sourceforge.jp)
902: [―{}@{}@{}-] login:Penguin
08/05/10 09:44:51 0BQy8+KX
fedora8使ってるんだけど、TOMOYO用のカーネル入れたら、
yum updateとかでカーネルのアップデートができなくならない?
903:login:Penguin
08/05/10 11:12:40 YtCqEUQp
>>902
kernel-2.6.24.5-85_tomoyo_1.6.0.fc8 の方が
kernel-2.6.24.5-85.fc8 よりも新しいバージョンと判断されてしまって、
ディストリビュータのカーネルはインストールされなくなるかもしれません。
ですが、ディストリビュータのカーネルがアップデートされれば
kernel-2.6.24.5-85_tomoyo_1.6.0.fc8 の方が古いバージョンと判断されて
ディストリビュータのカーネルの方がインストールされると思います。
904:login:Penguin
08/05/13 12:10:45 xL7S38Yx
VMwareのCentOS5にインストールしてみたけど、
vmware-config-tools.plで/usr/src/linux/includeが指定されてしまうよ。
前は勝手に/lib/modules/2.6.18-53.1.19.el5/build/includeやら
/usr/src/kernels/2.6.18-53.1.19.el5-i686が指定されてたのに。
どうすりゃいいんだろう。
905:login:Penguin
08/05/15 21:54:28 kwv10gej
>> 904
/usr/src/linux/include が指定されてしまうのは
/lib/modules/`uname -r`/build が存在しないか
デッドリンクになっているからでしょう。
インストールしたのは 2.6.18-53.1.19.el5 ?
それとも 2.6.18-53.1.19.el5_tomoyo_1.6.1 ?
前者なら yum install kernel-devel を実行すれば
/lib/modules/2.6.18-53.1.19.el5/build が
/usr/src/kernels/2.6.18-53.1.19.el5-i686 等を
指すようになるでしょう。後者なら
kernel-devel-2.6.18-53.1.19.el5_tomoyo_1.6.1.i686.rpm
をダウンロードしてインストールしてください。
906:login:Penguin ◆XkB4aFXBWg
08/05/16 09:22:36 mX7VQmYj
自宅で使用しているPCのディスクが壊れてしまい、しばらくご無沙汰していました。
>>716
5/31から「チョコレートの国の侍」というタイトルで、ThinkITさんで
連載いただくことになりました。
907:login:Penguin ◆XkB4aFXBWg
08/05/16 09:26:16 mX7VQmYj
昨夜、TOMOYOのlxrを更新しますた。
URLリンク(tomoyo.sourceforge.jp)
(最新は1.6.1ですが、その前の1.5.4も当面残しておきます)
908:login:Penguin ◆XkB4aFXBWg
08/05/16 09:29:15 mX7VQmYj
5/10にTLUGで、TOMOYOの紹介をしてきましたが、(このあたりのイベント
予定などの情報ははてなのページで確認ください)、Gentooのパッケージに
追加を提案いただけることになりました。TLUGは、外国人の方がほとんど
ですが、とても良い雰囲気です。
909:login:Penguin
08/05/21 18:12:59 WY0F4fBX
ここを会議室にしてみたらと提案して以来盛況になっているこの現実
このスレはWikiにも保存されますか?
910:login:Penguin
08/05/21 20:57:22 WY0F4fBX
メイプルシロップ事件やら鞄事件やらはTOMOYOとは関係なしに
別立てでおもしろおかしく書いてほしいw
911:デムパゆんゆん
08/05/22 12:51:07 wP9dv8BL
おはようございまつ
eclipseにぶちこむプラグイン tomoyo-gui
solaris版のeclipseにぶちこんだが微妙にエラーがでる
srcからエアロバキバキしたい
jp.sourceforge.tomoyo.GUI_1.0.1.v20070713-1200.src.zipに
build.xmlとかない プロジェクトとしてインポートしたいアル。キボンヌ
それとも自動生成アルか?
好了!
912:デムパゆんゆん
08/05/24 01:03:54 N3YMe7n2
URLリンク(lists.sourceforge.jp)
痴話喧嘩ktkr なんだよwwww
ステファン:と と ともよタン! どうしてコード変えたの? ウリの事嫌いニダか! 謝罪と賠償(ry
ともよタン:ん そ そんなつもりぢゃ ないでつ。 あ。。。
S:なんで なんでなの ともよタンのバカ! サンノゼであんなに愛し合ったのに! アレはなんだったの!
T:あぅあぅ
S:もぅ嫌い!
T:ぐあしあぐあしあ (@_@)
こうですね わかります。
つかLKML詠んでないけど なんで変えたんだよw
ステファン先生ご立腹。
ステファンの愛 木お見て森進一
MMパッチ神のお告げで御開帳
ブルハーみたいに
君ちょっと逝ってくれないか 君ちょっとすてごまになってくれないか
いざこざにまきこまれて 泣いてくれないか
LSMも似たようなもんだ ハァハァするには十二分
最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5360日前に更新/339 KB
担当:undef