TOMOYO Linux

1 名前：login:Penguin [2006/07/07(金) 16:28:14 ID:+/HOu7cX] 向こうはスレッド名がよくないのとＣＣさくらヲタしか集まってこないのでフォークした。 重複ではないと思っている。 TOMOYO Linux プロジェクト tomoyo.sourceforge.jp/ja/doc/index.html 533 名前：login:Penguin mailto:sage [2007/11/18(日) 18:32:27 ID:yHlFqZfV] TOMOYO Linux（笑）。　SELinux使えよwww 534 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/18(日) 18:57:07 ID:IAOb6Rgb] >>533 SELinuxは時間ができたら、趣味で（個人で）使ってみたいと思ってる。 Smackがメインラインに入ったら、SELinuxがどうなるかちょっと心配だ。 535 名前：login:Penguin mailto:sage [2007/11/18(日) 19:17:35 ID:y9fKSkF0] >>530 ふむふむ。 取りあえずしばらくは1系統を使っていきますです。 >>533 TOMOYO Linuxが商用利用前提のサーバで使えるかどうかの議論はさておき、個人用途で楽に使いたいならTOMOYO Linuxを選択しますなぁ。 ポリシ生成もAppArmor以上に楽だし。 趣味で使う分には楽な方法を選択したいのです。 536 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/18(日) 19:30:37 ID:IAOb6Rgb] >>535 「利用する」ということであれば、それがお勧めです。 AppArmorは、プロファイルという形でApacheなどいくつかのプログラムの ポリシーを配布しています。「システム全体」、あるいは「ブートから シャットダウンまで」という使い方は基本的にできません。また、TOMOYOの ドメインやポリシーの粒度を見たあとで、AppArmorのプロファイルを見ると 物足りなくなるかもしれません。 いずれにせよ、興味を持ったものを試してみることが重要だと思います。 聞いたり読んだりするのと使うのは全然違います。どこに使うかを 含めて使った上で判断したら良いと思います。 自分の場合は、趣味で使うなら難しいほうが、仕事で使うなら楽なほうが良いです。 ここには「SELinuxを使わせたい人」が多いようですが（笑）。 537 名前：login:Penguin mailto:sage [2007/11/18(日) 20:22:55 ID:2kXMkvh1] 学習ってどうやってるの？ 何をどのくらいどう学習させるのか 解説してるサイトある？ 538 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/18(日) 21:18:53 ID:IAOb6Rgb] >>537 とりあえずこんなところでいかが？ ttp://tomoyo.sourceforge.jp/ja/1.5.x/1st-step/centos5/ ttp://www.thinkit.co.jp/free/article/0706/17/2/ ttp://sourceforge.jp/projects/tomoyo/document/try-tomoyo-linux/ja/1/try-tomoyo-linux.pdf できれば、Software Designが読めるとベストです。 539 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/18(日) 21:22:55 ID:IAOb6Rgb] >>537 「どうやってるの？」とは動作原理や仕組みのことですか？ それであれば、 ttp://www.jnsa.org/nsf2003/award/2003/J002-S1022.pdf ttp://www.jnsa.org/nsf2003/award/2003/J002-P0828.pdf 540 名前：login:Penguin mailto:sage [2007/11/18(日) 22:06:08 ID:9NVM7Gsj] software designをtomoyoの週をすべて揃えると1万以上。 ドキュメントは点在。 一冊本をだしてもらえれば、ありがたい。 541 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/18(日) 22:52:02 ID:IAOb6Rgb] >>540 ご意見ありがとうございます。リソースや相手の問題もありますが、検討します。 542 名前：login:Penguin mailto:sage [2007/11/19(月) 02:00:33 ID:b6sAPSDU] 誰も使ってないからやるだけ無駄 543 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/19(月) 06:36:39 ID:+asZX8Wu] >>540 新たに書くと内容は新しくなるのは良いですが、利用してもらえるように なるまでに時間がかかりすぎるので、まずは ・技評さんに連載のムック化が可能か相談する ・技評さんに連載記事のweb掲載が可能か相談する の線であたってみます。 >>542 心配してくれてありがとう。"(ノ_・、)"　 544 名前：login:Penguin mailto:sage [2007/11/19(月) 07:24:41 ID:D0ekNzfK] >>543 荒らしたいだけなんだからもう放っとけよ 545 名前：login:Penguin mailto:sage [2007/11/19(月) 12:15:43 ID:KcGx0r9/] >>543 ２番目の線でもありがたいです。 546 名前：デムパゆんゆん [2007/11/19(月) 21:13:38 ID:iuwDfR2g] >>543 相方のガチャピンも一緒におながいしまつ 547 名前：仮面ライダー緑 mailto:sage [2007/11/19(月) 22:59:32 ID:fdaRO1ty] >>543 ムック化の際はきちんと現状にあわせてバージョンアップしてください Linuxがらみの書籍はいつもいつもいつもいつも情報が古いので せめて刊行直後くらいは「執筆時の最新」にしてください 548 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/19(月) 23:37:27 ID:+asZX8Wu] なんだかキャラクターが増えてますね・・・。 今日、技評さんに相談したところ、「テキストのみで出典を明確にして、 ある程度時間をおけば」ということで、連載内容の再掲を許可いただけました。 仮面ライダー緑さんが書いているように内容が古くなっているので、 アップデートしながらwebかwikiにアップしようと思っています。 549 名前：デムパゆんゆん [2007/11/19(月) 23:45:35 ID:iuwDfR2g] >>547 １執筆者にそりゃ無理な要求だｗ 業界大手で牛耳られいろいろ制約ｱﾙみたいだ 版元独自ルートｱﾙの日経とあともう一つどこだっけ　忘れた 550 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/20(火) 00:08:16 ID:fRb2xm4v] >>549 載せれば良いということではないので、載せる以上やっぱり、 新しくするのは必要だと思います（思ってました）。それは、 他のメンバーも一緒です。その意味ではムックより良かったです。 （とここまで書いてガチャピンの意味がわかりました） 551 名前：login:Penguin mailto:sage [2007/11/20(火) 01:08:51 ID:XPQCBCxh] がちゃぴん化光速で1000冊注文する 552 名前：デムパゆんゆん [2007/11/20(火) 01:15:28 ID:+uBRTRns] >>550 執筆のネタｦﾚがいつもいるスレで以前ネタになってマツダ 講談社や書店との間に専門商社が入り 大手はトーハンとかが業界を牛耳ってて、思うように出版できないというのがあったにょ ＞「テキストのみで出典を明確にして、ある程度時間をおけば」 技評の中の人はその辺りの事匂わせてるような気がしまつ ぎりぎり最新にしてあとは最新ＵＲＬ貼り付け汁　な気がす 遠い記憶なのであんまり当てにしないでクレヨン ちなみにせんせ〜のブログﾊｹｰﾝしますた ２４シーズン６見るためにカリフォルニア行ったんでつねｗ 通勤の時　ヘッドフォンしてるみたいでつね いいものを使ってても難聴 or 聾になりやすいでつ 難聴になると自律神経失調症やメニエルになりやすいというか一回はなりまつ メリー苦しみまつｗ　と、生まれた時から難聴の自分が言いまつでつ　でふぁ寝る 553 名前：login:Penguin mailto:sage [2007/11/20(火) 02:48:47 ID:CE3aj5Wo] TOMOYOってインストール自体は流れ作業でできるから導入までは纏めサイトのような備忘録作ってもあんまり有り難味ないんだよな…。 利用するにしても単純な利用方法（例えば「Webサーバにルールを適用させる」「mountの制御したい」）だけなら… ・学習モード状態で行いたい事をざっと行う ・ある程度生成されたポリシを元にルールを整形していく これだけなんだよね。 勿論この単純さがTOMOYOの良さだとは思う。 ただそれ故か、見渡せば公式サイト以外にほとんどTOMOYOの情報が無いのは微妙に寂しかったりする。 公式サイトにしても基本的な利用方法があるだけだし（それが一番重要ではあるけど（＾＾；；） 紙ベースにしろ、Webベースにしろ、ある程度特異な使用例が欲しい。 SD連載にあった権限分割とかsshログインの小技とかは結構面白かった。 554 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/20(火) 06:22:55 ID:fRb2xm4v] >>552 UNIX magazineの記事を書いたアスキーさんもこのあたりの考え方は 同じでした。webだとリンクがあるし、コピペできるから読者には便利ですね。 ヘッドフォンは体調とそのときの仕事と気分次第です。 AKGのノイズキャンセルヘッドフォンを使ってましたが、おおげさなので 最近は普通のインナーイアです。使いすぎ注意します。 24はシーズン6を見始めました。ジャックの無茶ぶりがすてきです。 555 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/20(火) 06:30:30 ID:fRb2xm4v] >>553 >・学習モード状態で行いたい事をざっと行う >・ある程度生成されたポリシを元にルールを整形していく そう。そのとおりです。 入り口までくるのには何の苦労もいりません。 ただ、その先の道は、実は結構奥深いものがあります。その奥深さが わかる人にとって、SDの記事は役に立ちます。SELinuxは、使い始めは 難しいですが、それを乗り越えたらあとは単調ではないかと思います。 一般の利用者の情報が少ないのは、奥深い世界に入っている人が 少ないせいかもしれません。そうした使い方でも良いし役に立ちますが、 TOMOYOの真価はそれだけではありません。 小技の記事は、熊猫さんが入れ込んで書いていたのできっと喜びます。 556 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/20(火) 07:35:33 ID:fRb2xm4v] SD連載がオリジナルだとわかるようにこんな名前にしました。 ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux 557 名前：login:Penguin mailto:sage [2007/11/20(火) 19:24:23 ID:SGcfNg7S] >>556 乙です。 いいぞいいぞ、これからが楽しみです。 558 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/20(火) 22:37:35 ID:fRb2xm4v] >>557 実際にやってみると思っていたより大変でしたが、少しずつ進めていきますね。 559 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/20(火) 22:48:31 ID:fRb2xm4v] LKML関係で今日ちょっと良いニュースがあります。 version 2.1は現行のLSMに合わせています。そのため実現できる機能は LSMの仕様により制限されます。制約となるわけです。 制限のひとつが、ネットワークのMACで、受信系のフックが使えません。 これについて、熊猫さんが今まで何度も提案してはリジェクトされていましたが、 5回目の提案から続くスレッドの議論でなんとなく採用されるかもしれなくなってきました。 SELnuxのJames君がこんなことを言っています。 ttp://lkml.org/lkml/2007/11/19/353 560 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/20(火) 22:54:36 ID:fRb2xm4v] 新たにメインラインに提案しようとするセキュリティ強化はLSMに 合わせるしかないわけですが、LSMは必ずしも共通的に必要とされる機能が 検討、実装されているわけではなくて、SELinux用っぽくなっています。 そうするとSELinuxと違うアプローチや方式は非情にやりにくく、さらに LSMのメンテナや関係者がSELinuxよりだと限りなく不利です。 SELinuxより前によく考えられたLSMがあって、中立的に運用されていたら 多少事情は違ったと思いますが、LKMLの議論のすれ違いを見ていると 「これは合意は成立しないよな」と私は思ってしまいます。 561 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/20(火) 23:11:36 ID:fRb2xm4v] SDの1回目ですが、CentOS 4.5+TOMOYO 1.5.2にしてみました。 ただ、図については家では作業できないので明日以降少しずつ追加します。 562 名前：login:Penguin mailto:sage [2007/11/21(水) 12:36:27 ID:QNHC4DX/] TOMOYOのセキュリティーって、どこかのお炭が付いてるのかな。 563 名前：login:Penguin mailto:sage [2007/11/21(水) 20:22:59 ID:HXViqftq] 使い物にならないというのが現在の評価です。 564 名前：login:Penguin mailto:sage [2007/11/21(水) 22:09:22 ID:PP61eWSP] TOMOYOは学習がメインということは穴が多いということに直結するからな とはいってもSELinuxも蟻の一穴で瓦解するから大差ないけどな 565 名前：login:Penguin mailto:sage [2007/11/21(水) 22:49:07 ID:QNHC4DX/] TOMOYOの導入事例って、まだ無いの？ 566 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/21(水) 22:51:11 ID:Eeqa5ppP] >>565 tomoyo 商用システム　導入事例 567 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/21(水) 22:57:57 ID:Eeqa5ppP] >>565 セキュアOSの導入状況について、NISCが調査報告書を公開しています。 ttp://www.nisc.go.jp/inquiry/index.html 「電子政府で利用する情報システムへのセキュリティ機能を強化したＯＳの適用可能性等に関する調査研究」 568 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/21(水) 23:18:17 ID:Eeqa5ppP] >>562 CC認証のことを言っている？それなら ttp://www.ipa.go.jp/security/jisec/cert_list.html を見れば。 569 名前：login:Penguin mailto:sage [2007/11/21(水) 23:20:55 ID:PP61eWSP] ニコニコが急に見れなくなった。 これもやっぱりTOMOYOのせいなのか 570 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/21(水) 23:49:12 ID:Eeqa5ppP] >>564 > TOMOYOは学習がメインということは穴が多いということに直結するからな > とはいってもSELinuxも蟻の一穴で瓦解するから大差ないけどな 学習はポリシーの初期値作りのためであって、穴のないポリシーに到達する近道では あるけど、学習結果をそのまま使うようなことはしてはいけません。 「穴のない」は、セキュアOSの種類によらず目指すゴールですが、SELinuxの 場合は、ポリシーの正しさの他に「ラベルの正しさ」を実現しなければ ならないのと、ポリシー自体の可読性が低いという点が、TOMOYOに比べると 難しいと思います。 571 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/21(水) 23:54:10 ID:Eeqa5ppP] >>562 CC認証はセキュアOS選びの重要な基準なので下記の表に項目を追加しました。thanks ttp://tomoyo.sourceforge.jp/wiki-e/?WhatIs#comparison 572 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 00:02:23 ID:Eeqa5ppP] ttp://www.ipsj.or.jp/sig/os/index.php?ComSys2007%2Fposter 573 名前：login:Penguin [2007/11/22(木) 02:56:43 ID:IG8xLyiw] はやくここに戻りたい・・・ 1月までまっててね。 574 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 06:40:59 ID:T42GwYyM] >>573 1月でも2月でも板がある限り待ってる。 575 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 06:50:27 ID:T42GwYyM] がんばれ。 576 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 07:00:07 ID:T42GwYyM] 認証の意義や価値を否定はしない。 だけど肩書きや「お墨付き」を当てにする生き方はむなしい。 現にそうしたものを信用できないというできごとが増えている。 PacSecの講演タイトルは、 A Practical Method to Understand and Protect Your Own Linux Box 「自分の管理するLinux Boxなら、ちゃんと自分で把握して守れよ」 「そうでなくて誰が守る？おまえの箱だろ？」 そういう意味を込めている。"Practical"は、「実際に使える」ということだ。 タイトルを考えるのに約1ヶ月かけた。 577 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 07:06:38 ID:T42GwYyM] "Understand and Protect"というのは、「内容を理解（把握）できずには 守れない」からこうなっている。reference policyでも良いけれど、 それなら、ちゃんと中身を読むべきだ。 資料ではTOMOYOをDIYアプローチと書いた。「自分で理解して守る」、 そう考える人にとってTOMOYOは最高のツールであり武器だ。そう信じている。 自分の考えやTOMOYOを押しつけるつもりはさらさらない。 良いと思ったら使えば良いと思っている。ひとりごとだよ。 578 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 07:26:18 ID:T42GwYyM] ttp://d.hatena.ne.jp/sec-momiji/20071208 579 名前：login:Penguin [2007/11/22(木) 12:30:19 ID:IG8xLyiw] セキュアＯＳよりもセキュア環境が欲しいかな 580 名前：login:Penguin mailto:sage [2007/11/22(木) 15:56:23 ID:7hbiBwAR] 「自分が何をしたいのか」と「相手に何をさせたくないのか」をある程度明確にできないと結局どのセキュアOS使おうが穴だらけになる可能性は高いよね。 TOMOYO LinuxにしてもSE Linuxにしてもその他のセキュアOSにしても結局行おうとしていることに対しての手段でしかないんだし。 581 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 23:01:24 ID:T42GwYyM] >>580 本当にそうですね。 「セキュアOS」「セキュリティ」、そう呼ぶと難しいですが、 もともとやりたいことは、単純で誰にでもわかる、誰にも必要なことなわけです。 以前も書いたかもしれませんが、私は最近あまり「セキュリティ」「セキュアOS」という 言葉を使いたくないと思っています。 582 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 23:07:41 ID:T42GwYyM] SELinuxのmlで大変興味深いスレッドを発見しました。 「SELinux的世界」を体験できます。超お勧めです。先頭記事はこちら。 ttp://www.selinux.gr.jp/selinux-users-ml/200711.month/2058.html 583 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 23:11:39 ID:T42GwYyM] この「SELinux的世界」を楽しいと思う人はきっとSELinuxに向いています。 私はパズルとしては面白いと思いますが、仕事で使う勇気はちょっとありません。 reference policyが落ち着いたら、状況は変わると思いますけれども。 584 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 23:35:59 ID:T42GwYyM] このスレッドの面白さを理解するためのヒントは、SELinuxとTOMOYO Linuxに おけるドメインの考え方の違いにあります。参考資料としては ttp://lc.linux.or.jp/lc2005/slide/CP-09s.pdf 585 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/23(金) 00:29:54 ID:ikI5IeJ7] 2.1のネットワーク関係でバグが見つかったので、少し前に2.1.1をリリースしました。 もし使っている人があれば更新ください。 586 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/23(金) 00:36:29 ID:ikI5IeJ7] ネットワークセキュリティExpert 7の発売は12/8のようです。 TOMOYO Linuxプロジェクトで9ページの記事を書きました。 内容は現在挑戦中のメインライン化で、プロジェクトメンバー3人で 分担して書いていますが、結構面白いものになりました。 日経LinuxでもCELFの方がメインライン化について書かれたようで、 そちらの内容も楽しみにしています。 587 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/23(金) 00:51:01 ID:ikI5IeJ7] >>584 ちょっとだけヒント。 ttp://takabsd.jp/d/?date=20060906 あとで簡単に説明します。でふぁ 588 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 09:58:57 ID:jgoLKUrq] PacSecの準備を始めたのでちょっと忙しくなりました。しばらくレスポンスが 悪くなるかもしれません。解説します。 SELinuxでは、アクセスの主体（サブジェクト）とアクセスの対象（オブジェクト）の ラベルにより、アクセスを許可して良いかどうか判断しますが、 サブジェクトもオブジェクトもラベルは「ひとつ」しか付与できません。 /bin/shでもApacheでも、特定の用途だけについてポリシーを書くことは 可能ですが、Linuxではさまざまなものが互いに関わりながら動いていますから それらをうまく「調停」するようなラベル付けを工夫しなければなりません。 「調停」のわかりやすい例は、/homeのラベルとApacheのラベルで、それが あっていないとApacheでユーザのホーム配下が開けなくなります（実際、 よくそうしたクレームがあがっていました） /bin/shには、（最新の状況は確認していませんが）shell_exec_tというラベルがつけられていて、 それに基づいて他のラベルやドメイン遷移は定義（設計）されていますから、 勝手に/bin/shのラベル定義を他のラベルに変更するとたちまち色々なものが動かなくなります。 そのことが理解できると、「reference policyであってもtargetedであっても 提供されているポリシーの内容を理解しないと、本当の意味でのカスタマイズは できない」という意味がわかると思います。（続く） 589 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 10:05:09 ID:jgoLKUrq] 簡単に言えば、「普通の/bin/shとApacheでPHPから実行されるsystem()で 起こされる/bin/shを許可したい」のですが、SELinuxの仕様というか制約の中で それを実現しようとすると、スレッドにあるように普通の方法ではできないと いうことです。つまり、「実行して良い場合」と「実行させてはいけない場合」の 記述が容易でないのです。 この同じことはTOMOYO Linuxであれば一瞬でできます。 学習させて、そのドメインを選択し許可すれば良いのです。 TOMOYOではもともとそうした状況に沿ってドメインを自動的に定義（分離） しているから、ドメインの定義やドメイン名の付与すら必要でなく、 ただ、その場合（ドメイン）を選んでモードを変えてやれば良いだけです。 この例に限らず、TOMOYO Linuxのポリシーは「人間のシステム管理者に とって、自然でわかりやすい記述」になっています。だから使いやすいのです。 より詳しく知りたい方は下記論文も参考にしてください。 （論文を読むまでもないかもしれませんが） ttp://lc.linux.or.jp/paper/lc2005/CP-09.pdf 590 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 10:08:48 ID:jgoLKUrq] このスレッドでもうひとつ参考にして欲しいのは、 「SELinuxを運用する」作業の実際のイメージです。 Fujiwaraさん達が連発している_tが「ラベル」です。ラベル方式の MACを使うということはこのようにラベルで考えることが必要です。 ・ラベル定義を設計する ・ラベル定義の設計に基づきアクセスポリシーを設計する となります。ただ、前述のようにラベル定義は自由に行うわけには いかず制約があります。reference policyでは、カスタマイズする部分を ユーザがモジュールとして作りやすいようになっていますが、 ラベルの調停の必要性については本質的に変わっていません。 591 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 10:12:21 ID:jgoLKUrq] SD連載ですが、全１２回をひとつのページにすると巨大すぎるので分割することに しました。現時点で第1回はほぼ完了、第2回は書きかけ、第3回は本文はほぼ完、です。 第3回についてはtomoyo-devのクスノさんにご協力いただいています。 インデックスは、 ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux はてなのキーワードの中からも飛べるようにしておきました （できるだけ多くの方に読んでいただけるように） ttp://d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099 技評さんには「発売後３ヶ月おきます」と約束したので、9月号まで できるだけ早く転載したいと思います。もし、作業を手伝っていただける 方があればご連絡ください。 592 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 10:18:03 ID:jgoLKUrq] 今朝、PacSecのアブストラクトが掲載されましたので、貼っておきます。 英語版から（アブストラクトも講演資料も英語と日本語作成しないといけないので 大変です） TOMOYO Linux: A Practical Method to Understand and Protect Your Own Linux Box Abstract TOMOYO Linux is an implementation of "manageable and understandable" mandatory access control for Linux 2.4/2.6 kernels. It was developed by NTT DATA CORPORATION, Japan and it has been available under the GPL license since Nov. 2005. The project is now trying to put their code to the mainline Linux kernel. With its unique feature of "automatic policy generation", TOMOYO Linux can be used to analyze the system behavior in depth as well as protecting from malicious attacks. The presentation will focus on how TOMOYO Linux compares to other secure-Linux projects in order to give audience appropriate information to choose suitable one. The on-line version of "secure-Linux" comparison table maintained by the speaker can be found at here. This presentation will include a brief demonstrations of TOMOYO Linux. 593 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 10:19:17 ID:jgoLKUrq] TOMOYO Linux: あなたのLinuxサーバを理解し守るための実践的な手法 Abstract TOMOYO LinuxはLinux kernel 2.4/2.6のための「使いこなせて安全」な 強制アクセス制御の実装で、株式会社NTTデータにより開発され2005年 11月からGPLライセンスのオープンソースとして公開されています。 プロジェクトでは現在メインライン活動に取り組んでいます。 ttp://tomoyo.sourceforge.jp/ TOMOYO Linuxはそのユニークなポリシー自動学習機能により、 クラッキング対策としてだけでなく、システムの解析に用いることも 可能です。講演では、参加者の方々が自分にあったセキュアLinuxを 選ぶことができるようになるために必要な比較情報が提供されます。 比較情報は ttp://tomoyo.sourceforge.jp/wiki-e/?WhatIs#comparison でその最新版を参照することができます。講演では、TOMOYO Linuxに 関する短いデモが含まれる予定です。 資料は現在作成中ですが、今回のSELinuxのスレッドも盛り込みたいと 思っています。 594 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 15:58:10 ID:jgoLKUrq] ネットワークセキュリティExpert 7の発売日は12月8日ではなくて10日でした。 失礼しました。 595 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/25(日) 07:39:46 ID:5c7oH0Sf] Ubuntu Japanese Teamの方から、TOMOYOのapt lineを教えてもらいました。 Experimental ttp://archive.ubuntulinux.jp/ubuntu-ja/gutsy-experimental/ に追加されています。/etc/apt/sources.lstに下記を追加すれば 利用できるようになります。 deb archive.ubuntulinux.jp/ubuntu-ja gutsy-experimental/ deb-src archive.ubuntulinux.jp/ubuntu-ja gutsy-experimental/ thanks >Ubuntu Japanese Team :) 596 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/25(日) 07:55:11 ID:5c7oH0Sf] 日本語ローカライズドDesktop CD（ISOイメージ）のダウンロード自体はこちら。 ttp://www.ubuntulinux.jp/products/JA-Localized/download Ubuntu 7.10でのTOMOYO Linux利用は、 ・Ubuntu 7.10（標準）でexperimentalのパッケージを追加する ・Ubuntu 7.10で、自分でカーネルをビルドする ・TOMOYOプロジェクトのLiveCDから「インストール」する 　（勿論インストールしないでLiveCDとしての利用も可） の3つの方法が可能になりました。 今さらですが、7.10でのTOMOYOのパッケージ(deb)がないことに気がつきました。 597 名前：login:Penguin mailto:sage [2007/11/25(日) 16:44:23 ID:325QUF8p] Gentoo に TOMOYO 2.1.1 をいれてみた。 まだ、よく使ってないけどいくつか思ったことを。 - ccs-tools に LICENCE も INSTALL もなくて不便 & README がなんかいまいち。 - パッチがカーネルのどのバージョン用のものかがわからなかった。 - ccs-tools と ccs-patch で少し混乱。 - コンソールで作業したから、英語Wiki を見てたんだけど、内容が少し古いことを書いてほしかった。 .init がねぇ…とずっと探してしまった…。 - で、適当にccs-init を動かしちゃったんだけど… /etc/ccs は消してもOKなのかなぁ? 今度 ebuild でも作ってみようかな…。 598 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/25(日) 19:59:55 ID:5c7oH0Sf] >>597 情報ありがとうございます。開発メンバーに伝えておきます。 /etc/ccsは消してもOKです。 599 名前：login:Penguin mailto:sage [2007/11/26(月) 02:57:52 ID:fkMxnajX] >>598 /etc/ccs 消しました。Wiki も情報が新旧混ざってますねぇ。 ところでせんせー質問いいですか! apache の動作を制約してみようかと、editpolicy で apache の学習結果とにらめっこしてます。 - allow_create /var/tmp/etilqs_<ランダムな文字列> というエントリがたくさんあるんですが、 まとめるには、A して allow_create /var/tmp/etilqs_\* でOKですか? - 基本全部通すけれど、特定のIPアドレスは許可しないというのはできますか? - udev と 小狼君は協調できますか? 600 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/26(月) 07:15:37 ID:x1nnOH3A] >>599 SDの連載のWiki掲載でも情報整理の必要性を認識しました。wikiについても 古い内容が更新されていないところがあるので、すみませんが当面webのほうで 確認しながら作業ください。 アクセス追加はそれで良いですが、file_patternとしてまとめて名前を つけることもできます。 ttp://tomoyo.sourceforge.jp/ja/1.5.x/policy-reference.html また、patternizeというツールもご利用ください。 ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2006-November/000140.html 「基本全部通す」は、TOMOYOでは指定できませんが、近い指定は可能かも しれません。あとで開発メンバーに聞いてみます。 udevと小狼は同時に使えるはずです。 601 名前：login:Penguin mailto:sage [2007/11/26(月) 12:17:11 ID:fkMxnajX] patternize 便利ですね〜。editpolicy の (隠し機能?の)'o' もかなり使えますな。 patternize の使用法は d.hatena.ne.jp/naothy/20070809 がわかりやすかったです。 /proc/ccs がなくて /sys/kernel/security/tomoyo を探しだすのに手間どりましたがw またまた質問でごめんなさい。 aggregator の第二引数は実際には存在しないパス(とかフルパス形式をとらないもの)でもOK? 例えば、 aggregator /bin/grep basic-shellscript-progs aggregator /bin/sed basic-shellscript-progs … keep_domain basic-shellscript-progs from /home/yukiusagi/yue.sh keep_domain basic-shellscript-progs from /home/sakura/kero.sh … のようにしてお手軽にシェルスクリプトがいじれるファイル群を制御したい。 それとも、/virtual/shellscript/basic みたいにしたほうがいいのかな?なんとなく。 # ','区切りで複数指定とか補完を使えるといいなぁ。ESCでキャンセルとか…。 # 追加成功/エラーメッセージも… 602 名前：login:Penguin mailto:sage [2007/11/26(月) 12:35:40 ID:tBfVfAfJ] >>543 TOMOYOのことをもっと勉強してみたくなったのですが、資料があまりなく先日SDのバックナンバーを全部購入しました。 でも後悔はないんですよ、TOMOYOに貢献できるのはこれくらいしかないですから。 自動学習の先は、奥が深いです。 603 名前：login:Penguin mailto:sage [2007/11/26(月) 19:11:55 ID:/yb/58Km] grant_logがうっとおしい時は echo 'MAX_GRANT_LOG=0'>/sys/kernel/security/tomoyo/profile でいいんかな。 '>' だと他の設定が消えそうなイメージがあってこわいな 604 名前：login:Penguin [2007/11/26(月) 22:27:26 ID:S3PFnDKS] >>599 > まとめるには、A して allow_create /var/tmp/etilqs_\* でOKですか? はい、それでもＯＫです。 もし \* の部分が６文字でしたら /var/tmp/etilqs_\?\?\?\?\?\? とした方が厳密になります。 605 名前：login:Penguin [2007/11/26(月) 22:28:40 ID:S3PFnDKS] >>600 >「基本全部通す」は、TOMOYOでは指定できませんが、近い指定は可能かもしれません。 ホワイトリスト形式なので除外したい範囲を除いて指定してください。 例えば 127.0.0.0-127.255.255.255 を除外したければ、例外ポリシーで address_group non-local 0.0.0.0-126.255.255.255 address_group non-local 128.0.0.0-255.255.255.255 のようにして、ドメインポリシーの方では allow_network TCP accept @non-local 1024-65535 のように指定します。 > udevと小狼は同時に使えるはずです。 同時に使おうとすると udev が syaoran の上に tmpfs を被せてしまいますので、 （桜ちゃんのマウント制限機能である）DENY_CONCEAL_MOUNT=3 を併用する必要があります。 606 名前：login:Penguin [2007/11/26(月) 22:29:28 ID:S3PFnDKS] >>601 > aggregator の第二引数は実際には存在しないパス(とかフルパス形式をとらないもの)でもOK? ＯＫです。でも、パス名であることを示すために / で始まる名前である必要があります。 /./ とか // とかで始めれば実際に存在するパス名と衝突しないので良いかと思います。 607 名前：login:Penguin [2007/11/26(月) 22:30:14 ID:S3PFnDKS] >>603 > grant_logがうっとおしい時は echo 'MAX_GRANT_LOG=0'>/sys/kernel/security/tomoyo/profile でいいんかな。 setlevel プロファイル番号-MAX_GRANT_LOG=0 です。 608 名前：login:Penguin mailto:sage [2007/11/27(火) 02:47:43 ID:GsZ7Df8e] >>604-607 いっぱい答えてくれてありがとうございます。 もひとつ。再起動せずにmanager.conf の再読みこみはできないの? 609 名前：login:Penguin [2007/11/27(火) 06:37:20 ID:5fq2Zs/N] >>608 loadpolicy m または cat /etc/ccs/manager.conf | loadpolicy -m です。 610 名前：login:Penguin mailto:sage [2007/11/27(火) 08:36:51 ID:Fp2ivJlT] 　 　 　 　 　, ' ,. '´　　　　　　　　　｀ヽ､ヽ 　 　 　 　 ,.' ,.' 　 　, 　 　, 　 　　　　　 ヽ ﾞ､ 　　　　　〃/, , 　 ,',' , 　　! |l 　　 | l 　 ', ﾞ., ', 　 　 　　ｌ| { { { 　 !l　! 　　lll |　　　! ! 　 }l　! ! 　　　 　 !{ | l l　_r┴‐'ｭ___|l! |＿__,','L.__ l|　| | .　 　 　 | '.,| ,' ｦ, ''二.ヽ.|┐ 　 '""ﾞﾞﾞﾞﾞﾞ'''｀ｰ/ﾉ! 　　　　 |　 ,-',{l|{ （○） }| | 　 　_........._ 　 ,','　ｌ 　 　 　 |　｛（ﾞ,_ﾐヽ 二ノ | | 　　,;=＝=:.､ ,' ）｝ ｌ 　 　 　 !　 〉'´,rﾞ|r ‐‐┐| |､　　　　　　 ,' .ノ 　! 　　　　|　/　/, ┴‐‐ｭ'ﾞ┘!‐‐; 　 　 　 ,'l´ 　 　! 　 　 　!　|　'´　,.ィエ._|￣l|ｰ' 　 　 　ィ　|　　　 ! 　　　 ,'　 ! 　 '" _,-r:ｲ r:､l_...､ - i ´　l　 |　　　 ', 　　　,'　 ,'ﾞ､　　r| ﾞ､'; ﾞ､ヽ､｀ヽ､./｀＼ |　 ! 　　　ﾞ､ 　　 /　/ﾞ､ ヽ､ { {　ヾ､ ｀'┘　 ﾞi､　 ﾉ ヾ､.', 　 　　':, .　 /　/,-|＼　｀ﾞヾヽ､ 　 　　　ﾉ^{'"　　//ヽ､ 　 　 ':, 611 名前：login:Penguin mailto:sage [2007/11/28(水) 23:31:11 ID:mC4LQURi] 最近の selinux-users 見てると TOMOYO のほうが断然いいんじゃないかと思えてきた。 SELinux の雑誌連載読んだり、英語記事読んだりして頭を悩ませたあの苦労は一体なんだったんだ 612 名前：login:Penguin mailto:sage [2007/11/29(木) 00:20:45 ID:VA2JqiNB] SELinuxはすぐにOFFが基本 613 名前：デムパゆんゆん [2007/11/29(木) 00:24:34 ID:4QZMaE+W] SE Linuxでカーネルのセキュリチーのたたき台が出来たし 市場としてもこれからでね？ SE Linuxはpostgresqlのロール権限みたいなもんだと SD２００４年１０月号読んでｦﾚｦﾚ学習した 日本版SOXとな　コンプライアンスとな セキュリチー面倒だと　二律背反な現世でつ と言う事で、ﾙｰﾀは気楽にふりBSDにしまつｗ ごめんあさい　ごめんあさいｗｗｗ 614 名前：login:Penguin mailto:sage [2007/11/29(木) 09:07:31 ID:BI7MDb56] NSA作 頑丈にしてみた 615 名前：login:Penguin mailto:sage [2007/11/29(木) 10:01:42 ID:7JijcZKv] >>612 SELinux の中の人達はこういうユーザの現状を認識してんのかな? ユーザのこと考えずに理論だけでやってる気がするよ。 616 名前：login:Penguin mailto:sage [2007/11/29(木) 11:30:47 ID:GXCy7vaZ] SELinuxは生半可なユーザは対象外 生半可な人達はこういうことを認識してんのかな? 617 名前：login:Penguin mailto:sage [2007/11/29(木) 11:38:10 ID:ZTQjLxRL] ↑これはある意味正しいね SELinuxはアメリカ政府、軍事を守るための技術 使いやすさを優先してたら生命の危機に関わる 618 名前：login:Penguin mailto:sage [2007/11/29(木) 15:06:57 ID:mGzdZ1hQ] 正論すぎて泣いた 619 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/29(木) 18:25:04 ID:uxwmlobe] PacSec終わりますた。 ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2007-November/000309.html 620 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/29(木) 18:29:03 ID:uxwmlobe] >>610 「名前」で騒ぐ人は多いのですが、"TOMOYO"である意味がわかっている人は 少なくて、それをいつも残念に思っていました。 621 名前：login:Penguin mailto:sage [2007/12/01(土) 10:37:59 ID:EHGz1Vat] >>620 TOMITAKE Linux でもいいってことだよ 622 名前：login:Penguin mailto:sage [2007/12/01(土) 13:21:22 ID:alin/Y65] 批判じゃないです。 古典文学(古典SFや古典ファンタジーを含む)からの引用は容易に受け入れられています。 なぜか。 近代文学からの引用というのは、敬遠されガチな気がします。 なぜか。 さらに近代のテレビ番組とジャンルが偏っていくと その傾向が強くなるのではないでしょうか。 印象が強いものより無味無臭に近いものが無難という ただの偏見だと思いますが、根強い擦り込みがあるのでしょうね。 それを気に止めないのは頼もしいと思います。 それがマーケティング的にプラスになるのかマイナスになるのか ハラハラしつつ見守る無駄に小心者な部外者がわたしです。 便利なものに仕上ればいいなぁと思っているからこそ。 623 名前：login:Penguin mailto:sage [2007/12/01(土) 13:40:07 ID:EHGz1Vat] 古典SFっていつごろを指すの？ ウェルズくらいまで？ クラークとかは近代扱いでおｋ？ 624 名前：login:Penguin mailto:sage [2007/12/01(土) 14:32:18 ID:alin/Y65] >>621-623 ~~~~~~~~~~~ ↑こういうのを無視して技術的な話を続けてください。 相手の思うつぼなので。 ノシ 625 名前：login:Penguin mailto:sage [2007/12/01(土) 17:09:32 ID:EHGz1Vat] >>624 振ってきたのは>>620だろ・・・ 626 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/01(土) 18:04:23 ID:YI4Lfj9H] スマソ 627 名前：デムパゆんゆん [2007/12/01(土) 23:35:19 ID:qc41z5Cq] 怒られたw 628 名前：login:Penguin mailto:sage [2007/12/05(水) 11:15:17 ID:CA9y6kMb] ほえー 629 名前：login:Penguin mailto:sage [2007/12/05(水) 20:54:48 ID:Nsoz8sT6] 1.5.2が出ているね。 いつも通りVineで無事再構築終了。 自分の環境に今回の修正はあんまり影響なさそうだったけど気分的に常に最新版を（→これで他の事でもよく地雷踏んでるが）。 マイナーアップみたいなので左程問題が発生するとは思えないですが、取りあえずリリースされたらされたで公式ページにその情報は出して欲しいなぁ…と少々希望。 ところで…/usr/sbinにもccsツールが入るようになっているようですが何か事情があったのでしょうか。 630 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/05(水) 23:23:47 ID:/OndcmTF] >>629 リリースについては、歴史的な経緯により以下の順で行っています。 1. tomoyo-users mlへの投稿 by 熊猫 2a. はてなキーワードへの追加 by 中野 2b. SourceForge.jpのプロジェクトニュースへの掲載 by 中野 3. LXRの更新 by 中野 もっとも早く、もっとも情報量が多いのが1で、2aや2bは1の内容を それぞれの場に適したものに編集してから掲載しており、2bを先に書いて 2aではそれをポイントしていることがありますが、そのあたりは やはり1の内容によりその都度判断しています。1を熊猫さんが行っているのは、 「より詳しい情報をロスなく早く提供する」という考え方と理解下さい。 ということでちょっと他のプロジェクトとは違うかもしれませんが、 ユーザや開発者の方には是非tomoyo-usersを購読いただきたいと思っています。 mlの過去のアーカイブを見ると1について、午前0時に行われていることが わかりますが、これは社内リリース手続きの完了を待って行って いたためです。ターボさんでの採用やディストロ対応を行ってくださる方の ために上記に加えて事前予告を始めました。 631 名前：login:Penguin mailto:sage [2007/12/05(水) 23:39:23 ID:1q9gnTlu] >>630 何故 devel へは告知しないの？ 632 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/05(水) 23:40:32 ID:/OndcmTF] >>631 プロジェクトの中では「develの人はusersは読んでいる」と思っているからです。 633 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/06(木) 00:03:46 ID:WbWUOs9u] >>629 今回のリリースで、/usr/sbin/の下にシンボリックリンクを置くことにしたきっかけは /usr/lib/ccs/の下に実行可能ファイルを置くのはtomoyo-devで FHS (Filesystem Hierarchy Standard)として好ましくないという指摘が あったことがきっかけです。 これから全く新規に提供するものであれば最初からFHS準拠にするのですが、 /usr/lib/ccsの下に置かれたファイルの場所を変更するとmanager.confや 既存のポリシーに影響してしまうため、このような形態を選択しました。 真の解決ではないので、どこかのタイミングで整理したいと思っています。 また、オンラインマニュアル作成の際にSELinuxとのコマンド名重複が 発見されたので/usr/sbin/配下ではccs-という接頭辞を追加しました。 634 名前：デムパゆんゆん [2007/12/08(土) 21:54:36 ID:sHGmKago] init_policy.shもう一度やり直すとき、 /etc/ccs以下を削除すればいいﾆｶ？ ISP全面規制だ ｱｲｺﾞｰ 635 名前：login:Penguin mailto:sage [2007/12/09(日) 00:07:15 ID:fw91IWD0] /etc/ccsをバックアップ取って実行してみるニダ。 大丈夫なはずだが駄目だったら時空太閤HIODEHOSHIのせいにすれば良いニダ。 /etc/ccs/profile.confを弄っているなら… xargs -0 setlevel < /etc/ccs/profile.conf をしておいた方が良いニカ？ 636 名前：login:Penguin [2007/12/09(日) 03:26:02 ID:awIRvzBx] いつのまにこんなに盛況なスレに！ で、メインラインに入ったんですか？ 忙しくて今年一杯は何もできない者より 637 名前：デムパゆんゆん [2007/12/09(日) 11:51:49 ID:mvxahewm] >>635 時は遅し　ｱｲｺﾞ〜 rm -rf /etc/ccs ｗｗｗ less init=policy.sh したら 最後の数行でディレクトリ掘ってたからとりあえずフォルダ削除したﾆﾀﾞよ やっとfedora 8で動いた　あぁ感無量 selinuxと共存させているがインスコが面倒過ぎる以外は特になんもない seeditでポリシをさわってﾆﾔﾆﾔ　tail /var/log/tomoyo/reject_log.txtみてﾆﾔﾆﾔ FreeBSDでﾙｰﾀの話はどうなったか・・・。 7.0BETA3はインスコできなかった　BETA4で試す気力がない そんなわけで、いぢけて犬に戻ってきたでがんす　ﾜﾝ 638 名前：login:Penguin mailto:sage [2007/12/10(月) 01:08:30 ID:XfaDvWiE] >>637 FreeBSD7.xでルータ化ニカ？ 素直に6.3出るのを待って6Stableで使った方が良さ気ニダ（5系統は微妙）。 TOMOYO BSDでも出れば使いたいニダ。 それにしてもSDにあったSSHログイン時の小技は良いニダよ。 /usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上でログイン後に認証取らないとなーんにもできないようにしてやったニダ。 個人鯖なら認証の回数はやりたい放題なのが気に入ったニダ。 外部野ざらしは怖い怖い。 639 名前：デムパゆんゆん [2007/12/10(月) 11:09:53 ID:weSbgjCG] >>638 もぱようござる ﾌﾘBSD7.0のzfs使ってみたかったﾆﾀﾞよ 最初からzfsぢゃないんだな（泣　新しいのでないとｲﾔﾀﾞｲﾔﾀﾞ address eth0とかtun0とかinterfaceで指定出来ないかのぅ？ wanだとダイナミックDNSとか使ったときアドレス変わるから繋がらなくなりそうな ｵｶﾝ時々僕とｵﾄﾝ　こういう使い方がよくないのかしらん setprofile -r 3 "<kernel>"selinuxもenforceにすると強烈でつ シャットダウンできましぇんｗｗｗ ファイルシステム　”/”以下全部制御したい気分 ＞/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上で ＞ログイン後に認証取らないとなーんにもできないようにしてやったニダ。 保護するの/usr/sbin/sshdだけでいいﾆｶ？ 接続はwan→lan　lan→lanへ別の端末？ wanからのsshはやっぱりポートを開けねばならぬのぅ VPNにしてwan0に仮想的にプライベートアドレスを割り当てられるのだらうか sshの小ネタ集　SDのバックナンバー買ってくる　ﾑﾑﾑ CTUみたく衛星回線でスクランブル発信で自動的にポートが開けられるとか　ﾌﾌﾌ 640 名前：login:Penguin mailto:sage [2007/12/10(月) 22:09:35 ID:XfaDvWiE] >>639 SSH小ネタ集…というか、ログインセッションネタはSDの10と11月号ニダ。 けっしてウリはSD編集部の回し者ではないニダ。 ちなみにウリの環境は[WAN側]-[ルータ]-[LAN配下のPC]ニダ ssh踏み台用サーバとMailとWeb用のサーバがあるけどMailとWeb鯖のsshポートは/usr/sbin/sshを固めた踏み台用PCしかログインできないようにしているでつ。 MailとWebもTOMOYOで固めているでつが、今のところ不都合なく半年以上またーりと運用できているニダ。 楽を覚えてしまうと他の事を覚えるのが面倒になってしまうのはきっと日帝の陰謀ニダ！ 641 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:36:14 ID:lunSW/hp] 明日、SDの編集さんと会うニダ。 来年の連載をどうするか話し合うニダ。 月刊誌の連載はつらいものがあるので、役に立たないなら遠慮したかったりするニダ。 意見、希望、コメント、その他あれば参考にするニダ。 ニダって何のことかわからないニダ。 642 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:41:48 ID:lunSW/hp] >>636 メインラインにはいってたらここにも報告しているニダ。 Smackはmmツリーに入ったけれど、パス名ベースの AAとTOMOYOは「よくわからない状態」になってしまっているニダ。 SELinuxチームにはいじめられなくなったけれど、 押してくれる人もいないし、誰が決めるかよくわからない変な状態ニダ。 LSMの見直しとか議論が始まってさらに謎は謎を呼んでいるニダ。 この状況を打開し、巨大な陰○と戦うべく近日再び動くニダ。 643 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:47:11 ID:lunSW/hp] ttp://packages.debian.org/search?keywords=tomoyo&searchon=names&suite=all§ion=all > 新しいパッケージポリシー対応作業などもするので、アップデートは > もう少し後になります。 とのこと。感謝感謝。(_ _) 644 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:53:56 ID:lunSW/hp] 11/29でPacSecで講演しました。資料は既にSF.jpで公開しています。 はてなからたどるのが簡単ニダ。 d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099 12/12にThinkITにレポートが掲載されます。 次のTOMOYO的なイベントは、1月末のITexpoでの展示です。 ネットワークセキュリティExpert 7も発売になったようです。 日経Linux最新号では、CELFの方によるメインライン特集ありなのでそちらも要チェック。 ttp://itpro.nikkeibp.co.jp/article/MAG/20071204/288654/ 645 名前：デムパゆんゆん [2007/12/11(火) 00:04:38 ID:3zCF9GCJ] >>640 ややこしいことしてまつね 同じ構成どこかの記事になってたような 探してみるか。 ttp://www.tamanegiya.com/nida-2.html SDの連載毎回担当決めて持ち回りでやるのふぁ？ 一人にかかる負担が減るとｵﾓ ちょっと前LKMLざっと見た印象 ずっと熊猫せんせ〜とLSM担当のトロンドせんせ〜が平行線な感じ ttp://lkml.org/lkml/2007/11/16/410 LKML読んでselinuxのステファンだったか そもそもLSMがあんまり気に入らないみたいな印象だった LSMつかってセキュリチーモヂュール作ってるのｦﾚらだけぢゃん？みたいな ぢゃぁLSM仕様変えるとか、そもそもいらんのちゃう？と遠回しに言っているような気がした。 言い方が悪くlinuxを支配しようとするNSAの陰謀だ!!!みたくなって つーかトロンドﾀﾝも相当偏屈だｗ　他の人にもｲﾗﾈの一言だ　ｳｰﾑ 646 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/11(火) 00:05:05 ID:lunSW/hp] 12/21のCELF Jamboreeは要チェック。 ttp://tree.celinuxforum.org/CelfPubWiki/JapanTechnicalJamboree18 647 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:20:35 ID:AFvxJNeo] >>635 ＞xargs -0 setlevel < /etc/ccs/profile.conf 1.5.x なら loadpolicy p または cat /etc/ccs/profile.conf | loadpolicy -p でもＯＫ。（ p は profile.conf の p 、 m は manager.conf の m ね。） setlevel は loadpolicy で代用可能、 setprofile は editpolicy で代用可能。 648 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:21:11 ID:AFvxJNeo] >>638 ＞ログイン後に認証取らないとなーんにもできないようにしてやったニダ。 この手法はシェルを起動する場合にのみ適用可能な点に注意してくださいね。 ポート転送の場合にはシェルを起動する必要がないので、 MAC_FOR_NETWORK も併用して制限してやらないと 自由に ssh -L や ssh -R によるアクセスができてしまいます。 649 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:21:41 ID:AFvxJNeo] >>639 ＞address eth0とかtun0とかinterfaceで指定出来ないかのぅ？ インタフェースでの指定はサポートしていませんが、 address_group eth0 192.168.0.1 のような方法で exception_policy.conf に記述しておけば、 allow_network TCP bind @eth0 22 みたいに domain_policy.conf で指定できます。 あとは、ＩＰアドレスが変化したら address_group eth0 を更新するスクリプトを走らせば 動的に変化しても対処でき・・・るかな？スクリプトの内容は echo address_group eth0 新しいアドレス | loadpolicy -e echo delete address_group eth0 古いアドレス | loadpolicy -e てな調子です。 650 名前：デムパゆんゆん [2007/12/12(水) 20:49:24 ID:1GwRrgco] >>649 さんクスコ 適当にグループ名つけて分けられるんだにゃ iptableみたいだ マニュアル読んでて混乱してきた　ｳｰﾑ メモ代わりにブログでも書くか ＞ニダって何のことかわからないニダ。 朝鮮語の皮肉 文末に〜ニダ　〜ﾆｶ？　感嘆詞　ｱｲｺﾞ〜　とかetc ちなみにセキュリティーexpoert　part7読んだ　ｳﾑ 651 名前：デムパゆんゆん [2007/12/12(水) 21:07:08 ID:1GwRrgco] 忘れてた 来年のＳＤ連載どうなるでつか？ とりあえず今年の１−１２月号が聖典に〜 御布施するぞお伏せするぞ だんだん特アすれみたくなってきたな　まともな人間モードにしよう 652 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:02:12 ID:sQVncvfj] >>648 あ、言い忘れました。 MAC_FOR_NETWORK を使わずとも OpenSSH の設定（ /etc/ssh/sshd_config ）で ユーザ名やグループ名に基づくポート転送の制限を行うことが可能です。 詳細は ttp://www.oreilly.co.jp/books/4873112877/ の本に書かれています。 TOMOYO でも allow_network TCP connect 192.168.1.1 80 if task.uid=1000-2000 のように ユーザＩＤやグループＩＤに基づくアクセス制限をサポートしています。 653 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:03:26 ID:sQVncvfj] ttp://www.thinkit.co.jp/free/article/0712/9/1/ インプレスIT、やばい会社だ。 654 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:06:26 ID:sQVncvfj] >>651 昨日、編集さんと打ち合わせますた。 来年も6回くらいの連載を書く方向で検討します。 8ページで、記事は6ページ、残りの2ページはプロジェクトのニュース、 という提案をいただきますた。 以前も書きましたが、「中の人」だけじゃなくて、この板を含めた ユーザと一緒に執筆してみたいと思っています。丸投げではなく、 一緒に書くというイメージです。興味ある人があれば連絡ください。 655 名前：login:Penguin mailto:sage [2007/12/12(水) 23:15:12 ID:1hor2Jgk] >>652 ふむふむ。 普段ほとんど（自分の環境では）ポート転送使っていないので頭から完全に抜け落ちておりましたですたい。 色々試してみますが、選択肢があることはよいことですね。 試して楽な方を選ぶことができるので。 656 名前：login:Penguin mailto:sage [2007/12/13(木) 00:59:17 ID:o8kOiAbC] せんせーは、ばりばり英語が書けてすごい…。 というか、著名な開発者の方々は皆書けるんですよね…。 おれもこの前英語圏のプロジェクトにバグ修正 ってか機能追加の提案したけど一向に返事が来ない… あまりにひどい英語だったから無視されちゃったのかなぁ (´･ω･`) 657 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:28:19 ID:B3Y4lHaA] >>656 LKMLのTOMOYOのスレッドをたどるとわかりますが、 返事をもらえてないのは日常茶飯事です。返事をもらえなくて困るのは、 書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。 話すときも書くときも「これで良いのか？」を考えすぎると 何もできなくなるし、気持ちが委縮して、かえって伝わりにくくなります。 日本にきた外国人の人が片言でも言いたいことがわかるのと同じで、 「伝えたい」という気持ちをもっていれば、伝わります。 オタワでは母国語が英語でない人もたくさんいて、その人達の言葉は やっぱりわかりにくかったのですが、でもそれでいいんです。 658 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:29:41 ID:B3Y4lHaA] >>657 行が抜けてしまいますた 返事をもらえなくて困るのは、もらえない理由や、読んでくれたかが わからないことです。また、メールで困るのは 書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。 659 名前：デムパゆんゆん [2007/12/13(木) 09:53:54 ID:Wths6Dev] もぱようございます インプレス　グローバルな時代にあわせろかぁ。ｗ 読むのにも１週間かかる　ｳｰﾑ 誤字脱字はにちゃんねるの文化　これでいいのだ 660 名前：login:Penguin mailto:sage [2007/12/13(木) 14:06:23 ID:CV+mmHd8] CLANNADの智代かと思った なんつってジョークだよ許してよ 661 名前：デムパゆんゆん [2007/12/15(土) 03:27:09 ID:gceWszq3] ソウルで零戦に乗って、韓国国会前で着陸したら許してもらえるかもﾆﾀﾞ 最近思うのはつっこむとselinuxと余り変わらない気がするなぁ /home　以下ユーザでログインできない　あぁ無情 gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか パッチ出たのが一昨日だっｗ ともよﾀﾝそんなに困らさないででよん 662 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 10:24:51 ID:h9rQF8ZE] >>661 もうちょっと詳しい情報ｷﾎﾞﾝﾇ 663 名前：デムパゆんゆん [2007/12/15(土) 15:52:47 ID:gceWszq3] 上官殿ｯ!!!　報告するであります 鳥はF8　initは５が前提 selinuxはenforce　TOMOYOは setprofile -r 0,1,2,3 <kernel> /home 以下ユーザでログインしたら gdm-binary[2660]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした こんなメッセージが出る selinuxがpermissiveだとログインできる 起動時/etc/X11/xinit/Xsessionの直前で/tmpにアクセスがあり TOMOYO-WARNING: Access 'create /tmp/.gdmOOKP2T' denied for /usr/sbin/gdm-binary TOMOYOが プロファイル1の時でも/tmp以下は学習はするものの 制御してるのかと思い　/tmp以下全部許可にしたりした selinuxで/usr/sbin/gdm-binaryのアクセス権限がだめなのかと思い 現在ｸﾞｸﾞﾙ先生にご意見拝謁賜っておりまつ 続く 664 名前：デムパゆんゆん [2007/12/15(土) 16:12:09 ID:gceWszq3] ＞gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか ＞パッチ出たのが一昨日だっｗ 勘違いだった　リプライの日付でつた　selinuxも関係なさそうだあぁ無情 https://bugzilla.redhat.com/show_bug.cgi?id=379511 怒らないで　ともよﾀﾝ 鳥が鳥だけにメンテナも七転びバットウ lists.linuxcoding.com/rhl/2007q4/msg11463.html バグ再発 このまま茨の道を歩き続けるかselinuxをpermissiveにするか localhost acpid: client connected from 2066[68:68] localhost ccs-auditd: Started. localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found localhost pcscd:last message repeated 3 times localhost acpid: client connected from 2168[0:0] localhost gdm-binary[2198]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした localhost gdm-binary[2212]: Gtk-WARNING: Ignoring the separator setting localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012 localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012 localhost gdm-binary[2213]: Gtk-WARNING: Ignoring the separator setting こんな感じ　ばぐ太なのか権限が足りないのかｳｰﾑ 続く 665 名前：login:Penguin [2007/12/15(土) 16:15:33 ID:1GRMYg0A] 　　　┌─‐‐─┐　　みなさんは２ちゃんねるの初心者ですか？書き込む前に 　　 　|_____________|　　SG(セキュリティー・ガード)に登録しないと自作自演がバレてしまいますよ。 　　 ='========='== SGに登録せずに書き込んだ場合、あなたのパソコン内の 　　　/ ＼　　／│　 情報は他人に見られていると考えてほぼ間違いないでしょう。 　 ┌|-（・）-（・）-|┐ 自作自演がばれる方の多くはこの登録を怠っています。 　 └| 　 　〇 　 .|┘ 初期の頃から２ちゃんねるにいる方達は、ほとんどの方が 　 　 |　___ |||||__　|　　このBBSのコマンドの仕組みを知っています。ですから簡単に 　 　 |　＼＿＿/ |　　あなたのIPアドレス等を抜き取り自作自演を見破ってしまいます。 　　　| 　 　||||| 　 |　　このコマンドの方法は決して教えないというのが初期の頃から 　　　　　　　　　　　　２ちゃんねるにいる方達の間で暗黙の了解となっていましたが、 あまりの被害の多さに心を痛めた私はあえて公開することにしました。 SGしておけばまず抜かれるコマンド自体が無効になってしまうのでどんなにスキルが ある人でもIPアドレスを抜くことが不可能になります。SGに登録する方法は、 名前欄に「 fusianasan 」と入れて書き込みする。これだけでSGの登録は完了します。 一度登録すれば、Cokkieの設定をOFFにしない限り継続されます。 fusianasanは、正式にはフュージャネイザン、又はフュジャネイザンと読みます。 元々はアメリカの学生達の間で、チャットの時にセキュリティを強化する為に 開発されたシステムです。これを行うことにより同一人物が書き込んでいるか どうか判別する手段が遮断されるので安心です。ぜひ書き込む前には 名前蘭にfusianasanと入力してください。自分の身は自分で守りましょう 666 名前：デムパゆんゆん [2007/12/15(土) 16:29:35 ID:gceWszq3] あとはTOMOYOでこんなﾛｸﾞが localhost kernel: TOMOYO-WARNING: Domain '<kernel> /sbin/init /etc/X11/prefdm /usr/sbin/gdm /usr/sbin/gdm-binary /etc/X11/xinit/Xsession　/bin/bash /usr/bin/ssh-agent　/usr/bin/dbus-launch /etc/X11/xinit/Xclients /usr/bin/gnome-session /usr/bin/gnome-panel /usr/bin/gnome-terminal /bin/bash /usr/bin/yum' has so many ACLs to hold. Stopped learning mode. selinuxとTOMOYO両方使いたいのぅ　気分的に使うIDS減るｵｶﾝ　運用は地獄でつ 上官殿!!!　不本意な成績で申し訳ありません　自分の不遜にあります 以上、台湾航空隊第二攻撃隊のラバウル航空戦の戦績を報告するでありますっ!!! 667 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 17:42:10 ID:h9rQF8ZE] Q. 結局のところ何が問題か説明せよ（長すぎてわからないぞ） Q. 「問題」は(a) SELinuxの問題、(b) TOMOYO Linuxの問題、(c) 切り分けできていないのどれになるか？ 　（TOMOYOに関係なく発生するならまずselinux-usersに質問するのが吉だ） 668 名前：デムパゆんゆん [2007/12/15(土) 18:55:14 ID:gceWszq3] Ａ、(a) SELinuxの問題 ｳﾘはﾈﾀ投下のつもりでやってるﾆﾀﾞよ ﾈﾀにならないなら投下しないﾆﾀﾞ うわぁ〜ん 669 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 19:42:50 ID:h9rQF8ZE] >>668 ﾈﾀ投下ですか。それは失礼しますた。ﾈﾀは自由に投下ください。 TOMOYOの話題限定でなくても良いのですが、早く解決するには SELinuxのほうに聞いたらと思ったのでした。 yumは特別な事情というか理由がなければ学習させなければ 良いと思います。（でもこれもﾈﾀか？） 670 名前：login:Penguin mailto:sage [2007/12/26(水) 01:38:13 ID:r4ypI5fU] Vineが4.2へ。 一応Kernelが2.6.16-0vl76.27に切り替わっているけど既存の2.6.16-0vl76.3用パッチファイルで問題なくTOMOYO仕込んで再構築完了。 まぁ…マイナーアップなのである意味当然な結果になりましたが…。 671 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/27(木) 07:40:40 ID:SXWTylVx] TOMOYO Linuxのディストリビューション対応状況2007.12.25版です。 ttp://lists.sourceforge.jp/mailman/archives/tomoyo-dev/2007-December/000749.html 添付されていたExcelをGoogle Spreadsheetsで公開してみました。 ttp://spreadsheets.google.com/ccc?key=p5SYVEC0jPMO_UUm1hsvQWQ# 672 名前：login:Penguin mailto:sage [2007/12/28(金) 01:37:38 ID:tdQ5au30] ccs-toolsをコンパイルするにあたり、必須な物って何がありますか？ 当方Debian（Etch/Lenny）を使っているのですが、make中に大量のWarningを吐き出してしまいます。 一応、Errorは吐き出さないので成功…なのかもしれませんが、ちと気になります。 以前までVinelinux4.1を使っていたのですが、その時はWarningは吐かなかったので…。 make -C ccstools/ all make: Entering directory `/root/ccstools' gcc -Wall -O2 -o ccstools ccstools.src/*.c -lncurses -DCOLOR_ON ccstools.src/ccstools.c: In function 'IsDomainDef': ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of '__builtin_strcmp' differ in signedness (中略） timeauth.c:272: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness timeauth.c:274: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness gcc -Wall -O2 -o falsh falsh.c -lncurses -lreadline make: Leaving directory `/root/ccstools' Debian自体は最小構成でインストールしているのでほとんど余計（必須）な物が入っておりません。 取りあえず make libncurses5-dev libreadline5-dev は入れております。 673 名前：LiveCDの中の人 mailto:sage [2007/12/29(土) 03:31:21 ID:i64ao+JI] >>672 結論から言うと、このwarningは無害です。 警告を消すには、Makefileの35行目のコメントアウトを解除して、 37行目をコメントアウトしてください。 Vineで出ずにEtch/Lennyで出る、というのは、 Vineのgccが、この警告を表示するオプションno-pointer-signが まだ実装されていないバージョンのためです。 TOMOYOの内部では文字列をunsigned charポインタで表現していますが、 strlenなどの関数が受け取り方がただのcharポインタであることが原因です。 674 名前：login:Penguin mailto:sage [2007/12/29(土) 09:11:51 ID:S76xHoyg] >>673 文字コードに依存した処理（文字コードに子息演算とか）をしなければ、charで事足りると思うのですが、 敢えてucharな理由はなんですか？ 675 名前：login:Penguin [2007/12/29(土) 15:07:37 ID:hCsJ400H] >>674 TOMOYO ではエンコーディングは考慮しません。 全ての文字列を ASCII printable な文字だけで構成します。 そのため、 ASCII printable ではない範囲のバイト （ 0x01 〜 0x20 および 0x7F 〜 0xFF ）については \ooo という８進数で表記します。 この４バイトで表記される８進数データと１バイトで表記されるバイナリデータとを 相互変換する際にビット演算が必要になるので、毎度 signed か unsigned かを 考慮するのが面倒という理由から、最初から unsigned で扱うようにしています。 また、 ASCII printable でないことを検査する際に 1 以上 32 以下または 127 以上 255 以下と表記する方が -128 以上 -1 以下または 1 以上 32 以下または 127 と表記するよりも 理解しやすいと考えています。 技術的には必要に応じて unsigned char にキャストすれば可能です。 676 名前：login:Penguin mailto:sage [2007/12/30(日) 00:52:55 ID:ekUClILt] >>673 Thxです。 677 名前：login:Penguin mailto:sage [2007/12/30(日) 04:09:27 ID:LWrRAHuk] 英語と日本語で両方ある場合は、相互に対応するページ、最低トップには リンク貼っといた方が良いかもです。 検索とかで飛んできた人もいるので。 678 名前：login:Penguin mailto:sage [2008/01/07(月) 12:00:43 ID:6LLk5psJ] CONFIG_XXXX のXXXXは機能を意味する英語であって、コードネームであっては ならんと思うんだが、どうよ？ 679 名前：login:Penguin mailto:sage [2008/01/07(月) 20:00:13 ID:/JVv+gmI] そいや今更だけどDebian LinnyのパッケージにTOMOYOﾀﾝが入っているね。 ただDebianのポリシーそのままに行くと1.5.x→1.6.xとかの変更が推奨されたときもパッケージに入らない気がするけどその辺りどうなんでしょ？ 記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。 680 名前：login:Penguin mailto:sage [2008/01/07(月) 22:35:29 ID:kortU+/c] >>679 > 記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。 stable はそうです。 681 名前：login:Penguin mailto:sage [2008/01/07(月) 22:43:32 ID:kortU+/c] より正確に言うと stable になった場合は、基本的には security fix のみで、 それ以外は機能的に大きく問題になるような（機能しなくなるような）点に関する 修正だけが協議の上で入れられる状態です。 ま、新しいの追いかけたい人は unstable 使うでしょうからあまり気にすることも ないでしょう。 682 名前：login:Penguin mailto:sage [2008/01/17(木) 05:20:31 ID:V/IoaRhx] なんだ、まだNAGATO linuxに改名してないのかよ 683 名前：login:Penguin mailto:sage [2008/01/17(木) 08:22:12 ID:SV+g1jpN] >>682 アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。 萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ？ そんだけではアレなので。 MACに興味あるので古いPen!! BXマシンのDebian Woody(ぉぃ)な内部用自宅鯖をOS含め入れ替える序に使ってみようとプラン立ててます。 思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。 運用モードである日あるアプリがエラーで落ちたときにログを書き出そうとしたりアラートプログラムを起動させようとしても事前に学習させてなければTOMOYOに妨害されるという可能性。 護るという点ではそれは正しい挙動なのだけど、なかなかポリシーを作るってのは難しいですね・・・ 幸いLinuxで動かすアプリは大抵オープンソースだから追いかけるのも不可能ではないのが幸せな所かも。 TOMOYOにもSELinuxみたいな出来合いポリシーまでは行かないですが、 「Apache動かすならココ許可し忘れに注意ね。」みたいな指南があると楽なんだろうなぁとも。 684 名前：login:Penguin mailto:sage [2008/01/17(木) 08:29:07 ID:SV+g1jpN] ま、単にWindowsメインで暮らしてLinuxを少し触れるだけのプログラムやハックが趣味な人の戯言やチラシ裏と流して頂ければと。 学習モードで眺めるのがなんとなくFilemonやProcess Monitorとかと感覚的に似てそうだなぁとニヤニヤしてます。 Filemon ttp://technet.microsoft.com/en-us/sysinternals/bb896642.aspx Process Monitor ttp://technet.microsoft.com/en-us/sysinternals/bb896645.aspx Windowsアプリは未だにアクセス権に対してテキトーな物が多いのが悲しい事ですたい。 この間もUsersで動かすと落ちるとかいうのを調べたら権限のない場所に書き込もうとして失敗したのに次のステップを強行してぬるぽで落ちてる始末。 みんなAdministrator(root)だった頃の癖が抜けてないプログラマー(というよりSEさん)が多い様で。 Linuxアプリは歴史的に有る程度考えて組まれてるみたいですけど物によっては同じ状況もあるのかなー？ ちゃんとやってればVistaのUACもそう大騒ぎする事でもない、UAC有効で問題ない状況だったはずなのになー あれだ、キモイパソオタでしかもドザでさーせん。風邪で脳に蛆がわいてるみたい。 就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。 出席足りなくてヤバイですよ。機械の体が欲しいです切実に。螺子になるのは嫌だけど。 スルーしてちょ。ただ、TOMOYOをみんなに運用しようと思ったらポリシーを網羅するのは大変だろうなと。 TOMOYOの良いところは俺のドキュメントは俺がKDEから起動したOOoからしか読み書きさせねー、 Apacheから来たアクセスははじいちゃるなんてのがファイルシステムのアクセス権に関係な実現できそうな事ですねー 685 名前：デムパゆんゆん [2008/01/18(金) 20:24:15 ID:5cuexXpF] おはぎゃぁぁぁ〜 ＞アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。 ＞萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ？ 今まではTCPmon　squrd トリップワイヤ　とかいろいろ使ってあれこれ試行錯誤 あれ？　どうしてレスしてしまったのか 管理する人間にしてみればＴＯＭＯＹＯが出て随分楽になるのでふぁ ＞思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。 自分も前おんなじ様なこと書いたような気が駿河 ＴＯＭＯＹＯﾀﾝ思考停止はい神崎 apache スクリプトでＴＯＭＯＹＯログ監視してストポみたいなエラーでたら 携帯にメイル発信するとか んで、ＳＳＨでリモートからあぱちぇ再起動　ｳﾏｰ そしたならば、うちに帰ってから再学習させればよかっぺ ｦﾚ様って頭いい〜とか自画自賛してみるが、 その昔日経コンピューターで特集やってたのを言ってみただけだｗｗｗｗｗ 採用してた会社は遠い記憶で東京三菱うふぁじゃぁ銀行 それでふぁ失礼したいのでつが　その前におちっこ >>684 ＞就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。 せんせ〜の足にしがみついて、だた様ﾏﾝｾ〜　ダタ様ﾏﾝｾ〜 と、叫んでみると　あら不思議　目の前にまっさらの履歴書があるわけです。 ストーカーチックでつね　名前も貞子に あれ　ディスプレイの電源が入ってる・・・・・・・。 風でなくても脳が沸いてるｦﾚなんですが すかしっぺ 686 名前：login:Penguin mailto:sage [2008/01/18(金) 20:37:47 ID:l92/rN1X] >>685 結果をその場で予め決められたとおりに下すんじゃなくてデスクトップ用途で使うならアラートダイアログが出て 「ともよちゃんがさくらちゃんを着せ替えしようとしてるけど、実行してよかと？だめと？　<<やー>> <ないん>後10秒...」みたいなモードがあると面白そ 687 名前：login:Penguin mailto:sage [2008/01/18(金) 22:07:32 ID:BvMIQ0O1] 外部アプリケーションへのフック機能か。 セキュリティ的になんか心配な気はするけども。 688 名前：login:Penguin [2008/01/19(土) 13:42:03 ID:HMoPyc1e] >>682 　改名はありません。 　ttp://I-love.SAKURA.ne.jp/tomoyo/ >>683 　ある程度ユーザが増えてくればユーザ間でのノウハウ流通が増えてくると思うのですが、 　最初は難しいので、ソフトウェアの開発元さんにお願いしたいところです。 >>684 　TOMOYO Linux は「情報の伝搬」（情報フロー）を監視／制限するモデルではなく 　「アクセス要求の連鎖」を監視／制限するモデルですから、 　Filemon や Process Monitor とかと似ているでしょうね。 >>685 　/etc/crontab または専用デーモンを使って、 /var/log/tomoyo/reject_log.txt に変更が 　あった場合に携帯にメールを送るということならできるでしょう。 689 名前：login:Penguin [2008/01/19(土) 13:43:19 ID:HMoPyc1e] >>686 　何故にドイツ語？（笑） 　デスクトップにダイアログを表示するプログラムは無いけれど、 　ポリシーで許可されていない要求をその場で却下するのではなく 　管理者の判断を仰ぐようにするモードはバージョン 1.1.1 以降で使えます。 　この機能を使えば、例えば３分間を限度に管理者が応答するまで保留させるといったことも実現可能です。 　管理者とポリシー違反監視デーモンの双方からアクセス可能なプライベート領域を用意できれば、 　「サービスがポリシーで許可されていない振る舞いを要求」→「カーネルが要求を保留」→ 　「ポリシー違反監視デーモンが要求内容をプライベート領域に書き込み後、ユーザに注意喚起」→ 　「ユーザがプライベート領域の内容を見て諾否をその領域に返答」→ 　「ポリシー違反監視デーモンがその領域に書き込まれた返答を見てカーネルに伝達」→ 　「カーネルが返答に従って処理を行う」という流れを踏むことで 　対話的にポリシー違反を処理することができます。 　コンソールやターミナルからこの処理を行うのが ccs-queryd というプログラムです。 　問題は、 Linux サーバだと Windows みたいに常にデスクトップ画面が使えるとは限らないので、 　通知のためにメール等の手段を必要とすることと、公開Ｗｅｂサーバやｓｓｈのように 　ファイアウォールで遮断されないサービスの手助けを借りる必要がある点ですね。 690 名前：login:Penguin [2008/01/19(土) 23:57:04 ID:HMoPyc1e] >>685 >>689 　よくよく考えてみると、通知して保留する部分だけなら簡単なのでちょっと作ってみました。 　ttp://svn.sourceforge.jp/cgi-bin/viewcvs.cgi/*checkout*/trunk/1.6.x/ccs-tools/ccstools/ccstools.src/ccs-notifyd.c?root=tomoyo 　これを gcc -Wall -O3 -o ccs-notifyd ccs-notifyd.c でコンパイル後、 プロファイルの ALLOW_ENFORCE_GRACE=1 に設定した上で ccs-notifyd 0 'mail メールアドレス' のように実行すると、 強制モードで発生した最初のポリシー違反をタイムリーに教えてくれます。 判断保留中にログインして ccs-queryd で返答するつもりなら 待ち時間を 0 ではない値（ 180 秒くらいが妥当？）に設定してください。 691 名前：login:Penguin mailto:sage [2008/01/20(日) 21:02:11 ID:vK+YBZs+] >>683 ＞アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。 バックの組織のことも考えてKOIZUMI Linuxでいいじゃん。 692 名前：login:Penguin mailto:sage [2008/01/21(月) 02:40:10 ID:XBGn53n5] 智代 After Linuxつくってくれ 693 名前：デムパゆんゆん [2008/01/21(月) 17:51:06 ID:rFx7dDpJ] >>686 例外処理やprintfで出力出してるとこ 変えればよさそうだ。　うん あれだな　本家にはとても入れらないだ？なので野良ビルド どこかうｐ出来そうなとこはないものか、と 夜の校舎窓ガラス壊してまわった >>690 最近ＢＳＤ入れたボッチャマに犬をもう一度入れろという天のお告げでつね。 こわひのでただ今から入れなおすことを前提に 前向きな検討をしたいと重いまつ。 きになったのはgcc -03 でエラーでないでつか？ スタンダードに-02のほうがよさげな気が始末書 待ち時間　メールだとすぐには届かないかも試練 webmin hinemosみたいな統合管理ツールで監視して 電話発信でワン切り５回なんかも考えた。 駄菓子菓子、１８０秒とか待ち時間過ぎても リモート接続できないとき 拒否にして　家に帰ってガリガリと修正すればいいだけか。 でわ、海に潜る 694 名前：login:Penguin mailto:sage [2008/01/24(木) 22:36:43 ID:+xCTxMjN] TOMOYO de BSDを所望しよう！ Trusted BSDは使い様が今一把握できんorz それはさておき、1.6.xに向かってまっしぐらのようだけどポリシのパーミッション表記方法が変わると既存のポリシに影響出そうで怖いのぉ。 きちんと既存ポリシは引き継げるのじゃろか。 695 名前：login:Penguin [2008/01/25(金) 06:42:30 ID:S3Tv4eYT] >>694 キーワードを以下のように変更するだけなので、 1.5.x で作成したポリシーを 1.6.x で読むことができるようになっています。（逆はできません。） 1 -> allow_execute 2 -> allow_write 3 -> allow_execute と allow_write 4 -> allow_read 5 -> allow_execute と allow_read 6 -> allow_read/write 7 -> allow_execute と allow_read/write 696 名前：login:Penguin mailto:sage [2008/01/25(金) 23:34:30 ID:Y8TQ/mNy] >>695 ふむふむ、安心したとですたい。 個人的には現行のままかrwx方式の方が分かりやすい気もしますが。 697 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/02(土) 23:44:31 ID:BrD5gcHQ] >>696 私も「現行の数値表示のまま＋コマンドラインオプションでrwx形式を追加」が 良いと思ったのですが、「特定の別名だけハードコーディングして コマンドラインオプションという優遇措置を設定することには反対」という ことになりました。 ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-January/thread.html 1.5.3では、下記のような環境変数を定義すれば、rwx表示に変更は可能です。 （一種sedの置換のようなイメージ） EDITPOLICY_KEYWORD_ALIAS='1=--x:2=-w-:3=-wx:4=r--:5=r-x:6=rw-:7=rwx' 698 名前：login:Penguin mailto:sage [2008/02/04(月) 02:31:36 ID:C0+qZX6D] >>697 orz 慣れれば馴染むのかなぁ。 慣れるまで大変そうだ。 せめて表記方法を選択できるようにすれば幸せ…かも。 699 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/04(月) 21:47:46 ID:pPdDQ2Yl] >>698 > 慣れるまで大変そうだ。 そうですか？（笑） ttp://tomoyo.sourceforge.jp/wiki/?plugin=attach&pcmd=open&file=editpolicy.bmp&refer=Welcome%21 > せめて表記方法を選択できるようにすれば幸せ…かも。 環境変数を定義しなければなりませんが、一応選択は可能です。 700 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/04(月) 23:08:56 ID:pPdDQ2Yl] 1,2...7とrwxを両方表示させてみましたが、いまいち・・・。 ttp://tomoyo.sourceforge.jp/wiki/?plugin=attach&pcmd=open&file=editpolicy2.jpg&refer=Welcome%21 701 名前：デムパゆんゆん [2008/02/04(月) 23:47:54 ID:JAZlt/Xr] いまいちなんでつが、 この際ばっさり切り捨てるとか 古い仕様が良いという抵抗勢力も出ると思いマツ そんな時は　抵抗勢力はぶっ潰す　あひゃぁ 個人的には古いほうが良いような気もするんでつが どっちでもいいや　だた様万歳!!! 702 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/05(火) 06:51:56 ID:fjHymLCz] >>701 1.5.3ではポリシーの構文自体は変わっていません。 editpolicyが勝手に表示内容（見た目）を置換しているだけです。 だから1を「あひ」、2を「でつ」とかにしても良いわけでつ。 多分すでに使っている人には1,2,3...で十分なのでつが、 新しく使い始める人には、まあわかりやすいと思いマツ。 この変更が一番うれしいのは、デモの際に「4はreadで・・・」のような 説明をしなくてすむことですが、同じポリシーが環境によって 違って表示されても良いのか気になりまつ　あひゃぁ 703 名前：login:Penguin mailto:sage [2008/02/20(水) 18:36:49 ID:21MYkGk0] TOMOYO の ML のアーカイブが gmane で読めるといいなぁ。 704 名前：デムパゆんゆん [2008/02/22(金) 00:35:14 ID:6ALFx6VR] 偶然見かけたＯＳＣﾄﾝｷﾝ２００８の案内 ＴＯＭＯＹＯ独演会　登録しちゃると思ったら満員ﾆﾀﾞ!!!ｗｗｗ 以外だ　ＳＥ　Linuxと肩並べてるよ 日本はいよいよ制覇しつつあるのか 次は世界制覇でつね　ＮＳＡの陰毛を打ち砕く日が来るんだなッ!!! 去年のＯＳＣ関西見たく　立ち見は駄目そうなのかしらん 事務局に聞いてみるか １０年ぶりのﾄﾝｷﾝ上京が夢と消える　あぁ花の大東京 705 名前：デムパゆんゆん [2008/02/22(金) 23:47:13 ID:6ALFx6VR] [Tomoyo-dev 775] プログラム実行時のパラメータをチェックする機能について [Tomoyo-dev 776] ステートフルなアクセス許可のサポートについて なんとなく読んでみる。 allow_execute /bin/sh if exec.envp[\"HOME\"]=\"/home/\\*\" 極論を言うと/homeがシンボリックリンクなどで改ざんされいないという 性善説が大前提になるだ。 ｦﾚ様頭堅すぎるのかな? ファースト　Tomoyo-dev 775 プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ /etc/ccs/exception_policy.conf以下に iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で 書くのいかがでせうか セカンド　Tomoyo-dev 776 なんとなくわかるのでつ ＣＧＩが増やしたプロセスの中に不正なプロセスが紛れ込んでいる いやらしい僕ちゃんがいると　大変なことに うーん　これも頭が固すぎるのか 最近ﾁﾝﾁﾝ固くしてないな あぁ　せんせ〜は海外逃亡中みたいでつね お家の一大事でつ ttp://itpro.nikkeibp.co.jp/article/NEWS/20080222/294479/ ベルギ〜ﾁｮｺ!!!　ベルギ〜ﾁｮｺ!!! 706 名前：login:Penguin [2008/02/23(土) 10:50:55 ID:+5LIG1Ds] >>705 > 極論を言うと/homeがシンボリックリンクなどで改ざんされいないという性善説が大前提になるだ。 セキュリティ強化ＯＳは性悪説が前提です。（カードキャプターさくらの世界に悪人はいません。） まず、シンボリックリンクに関しては、シンボリックリンクを解決した後のパス名でチェックしますので シンボリックリンクの影響は受けません。また、名前の変更に関しては「変更前／変更後」をセットにして、 ハードリンクの作成に関しては「リンク元／リンク先」をセットにしてチェックしますので、 「 mv /etc/shadow /tmp/shadow 」とか「 ln /etc/shadow /tmp/shadow 」のような操作を禁止できます。 よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。 > プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ カーネルが大きくなってしまうことを心配してるのでしょうか？そうだとしたら > /etc/ccs/exception_policy.conf以下に > iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で > 書くのいかがでせうか exception_policy.conf に書いても domain_policy.conf に書いても コードサイズの増加分は変わらないです。 domain_policy.conf に書く理由は、どのようなパラメータを許可すべきかは ドメイン毎に異なるからです。 if 以降の条件は学習モードでは追加されませんので、 デフォルトでは 1.5.x と同様です。 /var/log/tomoyo/reject_log.txt の中から allow_execute を見つけ出し、 if 以降の条件を追加したい場合だけ 手作業で追加してもらうことになります。 707 名前：login:Penguin [2008/02/23(土) 10:52:12 ID:+5LIG1Ds] >>705 > ＣＧＩが増やしたプロセスの中に不正なプロセスが紛れ込んでいる この機能は、ＣＧＩからシェルを起動できる条件を厳しくするために使います。 Apache プロセス内で動作するＣＧＩから /bin/sh の実行を要求されることがありますが、 「ＣＧＩによる正当な実行要求」なのか「バッファオーバーフローによる不当な実行要求」なのかを 判断する材料がありません。（どちらも Apache プロセスだからです。） そのため、過去にどのような処理が要求されたかという情報を状態変数として保持しておくことで、 シェルの実行要求を認めるかどうかの判断材料として使えるようにするものです。 例えば 192.168.1.xxx から接続してきた場合のみ管理用コマンドの実行を 許可するといった使い方ができるようになります。 もちろん、実行時のパラメータチェックと組み合わせて使えます。 さらに、ログイン認証の強化（ケロちゃんチェック）でも使えます。 例えば /etc/fstab をオープンしてから認証プログラムを実行しないと認証が成功しないとか、 /etc/mtab を３回オープンすると次のステージに進むためのプログラムを実行できるようになるとか。 忍者屋敷化（からくり屋敷？迷路？）に一層の拍車をかけることができます。 侵入者が屋敷の玄関まで到達できても、屋敷の中には見えない障壁がいっぱいあって先へ進めない、 そんな状況を「想像」（この機能を使うことで「創造」）してください。 イベントの発生順序でアクセスを制限する TOMOYO Linux は、悪人がログインできない世界を創り出すのに最適なのです。 > あぁ　せんせ〜は海外逃亡中みたいでつね インターネット常時接続環境のない場所で難儀しているようです。 708 名前：デムパゆんゆん [2008/02/24(日) 00:10:25 ID:/WI3c3iT] >>707 ＞よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。 ＞忍者屋敷化（からくり屋敷？迷路？）に一層の拍車をかけることができます。 ＴＯＭＯＹＯすげーｗｗｗ ＳＥ　ぃぬっくすいらねーぢゃん つか聞く前にコード嫁言われてるみたいだなｗｗｗ うん　書く分量が多い過ぎて　ＭＬに登録してまともな文章で返信の返信するアルか ＞インターネット常時接続環境のない場所で難儀しているようです。 オランダにはネカフェがたくさん ＱＢＢからＤＢに乗り代えお隣のドイチェランド　フランクフルトでビールとおつまみで一休み お帰りはそのままルフトハンザ航空で安く日本へ　ひゃっは〜 709 名前：login:Penguin mailto:sage [2008/02/24(日) 14:01:56 ID:smfLkUYP] おい、データに居るのに贅沢だな。 710 名前：login:Penguin mailto:sage [2008/02/24(日) 21:44:23 ID:Gs5sbjyI] せんせーへ。 これだけでMLになげるのもあれなんでこちらで。 お疲れ様でした。 711 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/24(日) 21:48:01 ID:zqtmZFzW] >710 どうもありがとう。 今回は素晴らしくきつかったです。 712 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/24(日) 21:50:46 ID:zqtmZFzW] 発表の直前まで作業していたので他の人の講演は聞いていないし、 チョコもワッフルも食べていませんが、明日帰国します。 今年はELCやOLSが通っていても辞退しようかな（笑）。 713 名前：デムパゆんゆん [2008/02/25(月) 02:45:27 ID:KB3fNQRF] せんせ〜が引退宣言だ いつもなら長文書いて発狂してるのに 辞退するとデスクが子会社にいつの間にか移っていたり うん　アレだ　これはなかった事に ＮＳＡに頼んで証拠すべて消してみる すべてなかった事にして進む フーッハッハッハッハ〜　ＮＳＡ万歳 714 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/25(月) 08:44:09 ID:lFcPbgqw] いや、採用されたら発表しますよ。(^^; 会社的には別に辞退してデスクが変わったりすることはないでしょう。 やめることより続けること、続けられる状態を維持するほうが大変です。 （もっとも続けるためにやっているわけではなく、会社にとって プラスにしようと思っているわけですが。そのあたりは資料をながめると 感じ取ってもらえるかも） # しかし、いつも長文書いて発狂してますかねぇ。(--; 今回の発表については、PCの故障、鞄の盗難（これがひどい話で・・・）、 ネット接続できないなどさまざまなトラブルが続きました。 それらをなんとか乗り越えて「約束した」発表を無事終えた、というのが実感です。 FOSDEM'08のパンフによると参加者は4000人以上、発表は200件以上と ありますが、発表は勿論自分以外の日本人は見かけませんでした。 European Meetingなのに選考してもらっている以上、日本代表も同じで 恥ずかしい発表はできないし、出張費用を負担する会社にはその費用以上の ものをもたらさなければいけないというのが「約束」の意味です。 ドラクエで言えばMP0, HP1でやっと町に着いた的な状態で、さすがに 疲れました。 ということで少し横になったので、ちょっとだけ長文でした。（笑） でふぁ 715 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/25(月) 08:56:20 ID:lFcPbgqw] ヨーロッパのOSSのコミュニティというか取り組みの活気は非常に高くて 驚きました。「お祭り」とか「イベント」という浮いた感じはどこにもなく、 ただまじめに取り組んでいるという印象です。静かで本気なのです。 プログラムからもそれがわかると思います。 ttp://www.fosdem.org/2008/schedule/pdf 716 名前：login:Penguin mailto:sage [2008/02/25(月) 19:34:50 ID:6WW+La9G] 鞄の盗難の話ｋｗｓｋ 717 名前：デムパゆんゆん [2008/02/25(月) 23:52:25 ID:KB3fNQRF] >>715 pdf読んでみた タイトルがはっきりしててうらやましいなぁと思う。 日本のＯＳＣに限らずなんか弊社でふぁソリューション展開云々 スポンサーの電波とかそんなのばっかりだし エオロッパは反マイクロソフトが露骨でつ 官主導でがんがんやってるのうらやましい 実際システム構築やホスする人は地獄だとオモｗｗｗ ＵＳＢメモリーとか刺したままにして 作業しながらコピー やくそく守ったし生きて帰ってこれたから うん　アレだ結果万歳 718 名前：login:Penguin mailto:sage [2008/02/26(火) 07:06:09 ID:eMAAHckI] >>712 ワッフルはULBの自販機にあったような気がするですよ。 て既に手遅れですな。 >>714 そこまで気負わんでも。 ネットはHack labo.へいけばって言っても混んでて無理か。 >>717 あんなものと比較しちゃ失礼でつ。 719 名前：デムパゆんゆん [2008/02/26(火) 21:10:48 ID:75/EnCeb] >>718 ちょｗｗおまｗｗｗｗｗｗｗｗ なんでつが、あんなものでも 時間を割いて講演する人もいる あんなものでも１０年ぶりのﾄﾝｷﾝ上京にｗｋｔｋしているのにｗｗｗ 行く気なくすよ　べぃべ　華の都大東京 720 名前：login:Penguin mailto:sage [2008/02/27(水) 01:17:58 ID:1DvYGSv9] まあ一回行ってみりゃわかりますよ。 もっとお手軽に行ければ自腹参加するんだが… 721 名前：デムパゆんゆん [2008/03/03(月) 21:06:19 ID:OIAumudR] >>720 それなりに収穫あった とりあえずSUNの中の人にｺﾞﾙｧ!!!出来たから万歳 しかし、人が多かった 上野で声かけられるしなぁ　ホームレスと思われたみたいだ おっかねぇ町だ 722 名前：login:Penguin mailto:sage [2008/03/03(月) 23:18:59 ID:ktQ1pfWh] INSTALL くらいいれてほしいのだ 723 名前：デムパゆんゆん [2008/03/03(月) 23:56:45 ID:OIAumudR] 入れてやるから足開けよ しかしTOMOYO linuxがいつのまにか鳥になっていそうな勢いだな ツルボがTOMOYOに あれ　家に誰か来たようだ 724 名前：login:Penguin mailto:sage [2008/03/04(火) 14:51:39 ID:UNaE2kKe] 名称をtomoyoでなく、tomoyolinuxにしたのはなぜなんでしょうか？ 自分は、最初ディストリかと思いました 725 名前：login:Penguin [2008/03/04(火) 18:59:52 ID:Xm/n3It9] ツルボって何？ 726 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/04(火) 23:08:43 ID:+p3Q60Ul] >725 「ツ」「ル」「ボ」とローマ字で書いてじっと眺めているとわかるかも。 727 名前：login:Penguin mailto:sage [2008/03/04(火) 23:32:55 ID:SYO2w67u] リリースのアーカイブの構成はもう少しどうにかならないですか? COPYING とか INSTALL とかないし…。 ./ に展開されてしまうのもちょっと…。 728 名前：login:Penguin mailto:sage [2008/03/05(水) 01:23:29 ID:TJzYPH0L] kernel の config 用の説明はもう少し簡略にしてもよくない? SAKURA のもともとの意味とか冗長だと思う。 729 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/05(水) 06:38:31 ID:wb+X54kg] 以前もここにあった書き込みを参考にしてリリース内容を変更しました。 問題点や改善の提案、意見があれば727,728のようにお知らせください。 その際できるだけ具体的なほうが助かります。 反映した場合はtomoyo-users, tomoyo-devで報告しますが、ここで提案 されたものはここにも報告します。 730 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/05(水) 07:56:43 ID:wb+X54kg] >716 記事を書き始めました。 書き上げたら掲載してもらうところをあたってみます。 731 名前：login:Penguin mailto:sage [2008/03/05(水) 17:28:30 ID:3/YYA17u] turboのことか。 732 名前：login:Penguin mailto:sage [2008/03/05(水) 19:13:54 ID:U7v281x9] tomoyoってどこで使われてるの？ 使用実績とかそういうの 733 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/06(木) 00:25:24 ID:z/SzlC/D] >732 それはとても興味があることなのですが、ユーザ登録もライセンス契約も しないで使えてしまうため実績はプロジェクト側ではわからないのです。 （tomoyoに限らず他のOSSもそうだと思います） 逆に使ってもらって報告してもらうと喜んでプロジェクトwikiとかに 掲載しちゃいます。直接ではないですが、多少関係する情報を紹介します。 ttp://www.nisc.go.jp/inquiry/index.html ttp://sourceforge.jp/projects/tomoyo/document/osr20060515.pdf/ja/1/osr20060515.pdf 734 名前：デムパゆんゆん [2008/03/06(木) 00:52:20 ID:/d7sQRDx] >>733 うっすらと防衛システムやってまつ。みたいでこわひよﾏﾏﾝ しんぞ〜が叫んでいた日本版ＣＩＡの一片をかいまみますた こわひので潜行しまつ　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ 735 名前：login:Penguin [2008/03/06(木) 18:23:28 ID:GsCrFK3g] 活動再開。 とりあえず、LKMLの整理から。 736 名前：login:Penguin mailto:sage [2008/03/06(木) 21:41:53 ID:0AVtMOE9] Ubuntu Server版 + TOMOYOのisoイメージって作成されないの？ 737 名前：login:Penguin mailto:sage [2008/03/07(金) 00:28:58 ID:wy4uBxaY] TOMOYOのリリースっていろんなディストロ用のパッチが入ってるけど意味あるの? 738 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:10:28 ID:c7Zdx7fz] >737 カーネルバージョンが同じでもディストロごとに使用している カーネルソースは異なり（修正されており）、 vanillaカーネルのパッチはそのままではあたりません。 そこでコンパイル済みパッケージではなく、自分でビルドする人 ttp://tomoyo.sourceforge.jp/ja/1.5.x/compile.html のためにわかる範囲で各ディストロ用のパッチを提供しているわけです。 ということで答えになっていますか。 739 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:15:28 ID:c7Zdx7fz] >735 復帰おめでとうございます。 LKMLはその後大きな動きはありません。セキュリティゴールを 投稿し、vfsmount部分のみを切り出して提案したというのが 主な内容ですが、それらの結果新たな動きはでていません。 LKML提案については、 ttp://elinux.org/TomoyoLinux#Mainline にインデックスを置いていますから利用ください。 公表はしていませんが、FOSDEM前にAppArmorの人に「合同で OLSの投稿をしませんか？」と提案しましたが、その際 AppArmorもvfsmount部分を切り出して投稿しようとしていたことが わかったので、「多分効果ないですよ」とコメントしました。 740 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:18:52 ID:c7Zdx7fz] gentooの方がebuildを作成してくださいました。 ttp://ebuild.gentoo.gr.jp/view.php?cat=sys-kernel&app=ccs-sources&visible= ttp://ebuild.gentoo.gr.jp/view.php?cat=sys-apps&app=ccs-tools&visible= 各ディストロ用のパッケージ作成について協力いただける方を募集しています。 741 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:29:33 ID:c7Zdx7fz] >720 OSC2008/Tokyoの講演資料、講演動画など公開されています。 はてなのキーワードから参照ください。 ttp://d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099 ブースと講演にきていただいた方々ありがとうございました。 デムパ君もきていたようですが、デムパ君は現実世界では 電波を出していないので今回もプロジェクトメンバーは識別できませんでした（笑）。 742 名前：login:Penguin mailto:sage [2008/03/07(金) 08:35:31 ID:wy4uBxaY] >>738 うーむ、なんといいますか、 vanilla のパッチでも問題なくパッチがあたるも のに対しても一つずつパッチを発行しているように見うけられるのです。 それは中の人の手間がかかりすぎるのではないかなぁ、と。 743 名前：デムパゆんゆん再浮上 [2008/03/07(金) 21:19:35 ID:Da+wBUIs] >>742 以前自分も同じ様なこと書いたが、 まぁなんだ　糞ハードでコンパイルするとだな 時間がかかるわけで　armとか　アルマジロとか大変でつ プロジェクト自体組み込み分野意識しているふいんきでつね ちなみにパッチ当て このedoraみたいなうｐだてすると ハングしちゃうような鳥で　もぅパッチ当てｲﾔとか 特定のバージョンの鳥とか　ありまつか？ 一台空きが出そうでつ しかしパッチ当ててreject出たら直せませんｗ 厳冬はｗ >>741 リアル電波人間の方が多かったので存在感なかったでつ ふと思ったのは仮にメインラインに入ったとして その先の視点はあるのでせうか？ 打倒ＮＳＡ!!!　鬼畜米英を排除するﾆﾀﾞ!!!とか 上にあったNISCでせきゅりちぃＯＳとして 防衛システムに耐えられるのか?とか うん　ＣＴＵみたいだ　ﾌﾟﾌﾟｯﾋﾟﾌﾟ〜 それでふぁ　再潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ 744 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 22:18:21 ID:c7Zdx7fz] >743 >>その先の視点はあるのでせうか？ おととい某社で同じことを言われました。 ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ 745 名前：デムパゆんゆん再浮上 [2008/03/11(火) 22:35:22 ID:CxtQ3FtA] >>744 なんとなく言ってみたのが なんと某社でも同じ事言う人いたのですね 「上司の早く結果お出せ！」　言ってるみたいだ ごめんよ　ジャック　　トニーがシーズン７で復活だ 交代でつ　でふぁ　潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ 746 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/11(火) 23:24:13 ID:zv95Uvxy] トニーが復活？そんなことアルメイダ・・・。ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ ELC2008、2年連続でつ。でふぁ。ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ 747 名前：login:Penguin mailto:sage [2008/03/19(水) 14:40:24 ID:FJ24G3gB] linux-users に TOMOYO が原因ぽく見えるもので困ってる人がいるけど、いまいち対処がわからない。 748 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/19(水) 23:20:44 ID:x1kDdHhS] 対処の前に何が起こっているのかが見えません。 "Not activating Mandatory ..."を表示しているのは、確かに TOMOYOパッチですが、それは"/.initが存在しないからMACを有効にしないよ" と言っているわけで、それなのにもし何かを制御しているとしたらおかしい。 何らかの理由により（そんなことないよな・・・）MACが有効になっていたと しても、rebootなどのコマンド「だけ」が実行できなくなるような 状況（＝そうしたポリシーが定義されている状態）はさらにおかしい。 /.initがないことは確認済みなので、TOMOYOは有効になっていないと 考えるのが自然で、そうすると「再起動ができない」と言っている部分を 調べてみる必要があるので質問中。 749 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 00:27:30 ID:DeMn8tFr] >747 再起動のコマンドの実行が「拒否」されるわけではなくて、 「コマンド自体は通常に実行できるが、システムが終了しない」というのが 症状でした。原因は不明で熊猫先生はデッドロックの可能を示唆しています。 750 名前：login:Penguin [2008/03/20(木) 09:33:38 ID:uHEaUbK8] TOMOYO初心者ユーザです。 質問があるのですが、skypeをkdm環境から立ち上げるのccs-editpolicyで制御したとしても、 gdm環境等から立ち上げることは出来てしまうのでしょうか。 例えば、kdm環境の場合のドメインは、以下のように設定しています。 <kernel> /etc/init.d/kdm /sbin/start-stop-daemon /usr/bin/kdm /etc/kde3/kdm/Xsession /usr/bin/ssh-agent /usr/bin/dbus-launch /bin/sh /usr/bin/startkde /usr/bin/start_kdeinit_wrapper /usr/bin/start_kdeinit /usr/bin/kdeinit /usr/bin/skype しかし、startrxでXを立ち上げた場合は、以下のようなドメインは許可されてしまうのでしょうか。 <kernel> /sbin/getty /bin/login /bin/bash /usr/bin/startx /usr/bin/xinit /bin/sh /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/seahorse-agent /bin/sh /usr/bin/gnome-session /usr/bin/gnome-panel /usr/bin/skype 751 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 11:26:54 ID:DeMn8tFr] こんにちは。TOMOYO Linuxはデフォルトでは起動履歴が異なるものは 別ドメインとして扱います。したがって上記2つは独立なドメインなので それぞれアクセスを定義しないといけません。 しかし、/usr/bin/skypeについて「どのように起動されていても 同じように扱いたい（1つのドメインとして扱いたい）」場合は、 initialize_domainとして登録しておくことにより、上記2つ以外を 含め、/usr/bin/skypeをひとつのドメインとして例外的に扱えます。 詳しくは、下記を参照ください（またわからなければお気軽に質問ください）。 ttp://tomoyo.sourceforge.jp/ja/1.5.x/policy-reference.html 752 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 11:31:11 ID:DeMn8tFr] もうひとつのやり方は、kdmのほうで定義したポリシーを該当するgdmの ドメインの部分にエディタで貼り付けても同じです。一度savepolicyで 保存したポリシーはプレインテキストですから、viでもemacsでも 該当する部分を見つけて複写するのは簡単です。 TOMOYOでは標準（デフォルト）の状態で、ドメインを細かく（自動的に） 定義しますから、それを支障のない範囲で統合するというのが ポリシーのチューニングになります。それに対して、SELinuxなどでは ドメインの定義を細かくしたければ、リファレンスポリシーを自分で 再定義して分割する形になるはずで、考え方や使い方が異なります。 753 名前：750 mailto:sage [2008/03/20(木) 12:29:18 ID:uHEaUbK8] >>749 ありがとうございます。 例えば、/home/hoge/.Skype 直下にのみrwを許可する場合は、 こういう風に書けばいいのでしょうか。 --(exception_policy.conf)------------ initialize_domain /usr/bin/skype ------------------------------------- --(domain_policy.conf)--------------- <kernel> /usr/bin/skype /use_profile 3 6 /home/hoge/.Skype/\* ------------------------------------- 754 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 13:18:50 ID:DeMn8tFr] >>753 initialize_domainはそれでOKです。これを記述するファイルが exception_policy.confなのは、「ポリシーの扱いを例外的に標準とは 違うやり方」で扱うからです。 domain_policy.confですが、use_profileの前の"/"は不要（間違い）ですし、 手順としては、(1)まずinitilizeの効果を確認し、(2)そのドメインで学習させる、 (3)学習結果を見てチューニング、(4)作成したポリシーで確認を行い、 (5)最後にエンフォースです。（別にこの通りでなくても良いですが） 755 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 13:27:43 ID:DeMn8tFr] ポリシーのチューニングについて、Software Design連載の3月号の 内容が参考になります。Wiki化されています。 ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-3 756 名前：750 mailto:sage [2008/03/20(木) 14:11:56 ID:uHEaUbK8] >>754-755 なるほど、ご教授ありがとうございます。 しかし、 - 全体のプロファイルはゆるめ(1とか2)にしておきたい - このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい という場合は、どのようにすればいいでしょうか。 管理者としては、学習がちゃんと出来ているかどうかの確認と、万が一制限がきつ過ぎてサービス停止を起こしてしまったとかが、不安なところなのですが(^^;A 757 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 14:29:54 ID:DeMn8tFr] >>756 > - 全体のプロファイルはゆるめ(1とか2)にしておきたい > - このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい TOMOYO Linuxではドメインごとにプロファイル（動作の内容）を変更 できますから、上記は、initializeしたSkypeのドメインだけを エンフォースにすれば（エンフォースのprofileに変更すれば） 特に難しいことなく実現できますよ。操作はeditpolicyで、ドメインを 選択して、sを押下、割り当てるプロファイルを入力するだけです。 ttp://tomoyo.sourceforge.jp/ja/1.5.x/tool-editpolicy.html 「不安なところ」についてはごもっともで注意が必要なところです。 ここはひとつ熊猫先生に登場してもらいましょう。 758 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 14:38:09 ID:DeMn8tFr] >>757 >特に難しいことなく実現できますよ。 このあたりの感覚はLiveCDで試していただくと一番わかりやすいと 思います。LiveCDは全ドメインが学習モードで起動しますから、 シェルのドメインを選んでプロファイルを強制にすると そのシェルのドメインだけが制限されて他は自由という状態になります （これは最近よくデモで紹介する内容です）。 ttp://tomoyo.sourceforge.jp/wiki/?TomoyoLive 759 名前：750 mailto:sage [2008/03/20(木) 15:01:20 ID:uHEaUbK8] > 上記は、initializeしたSkypeのドメインだけを > エンフォースにすれば（エンフォースのprofileに変更すれば） > 特に難しいことなく実現できますよ。 なるほど！その手がありましたｗ。 ありがとうございます。 大変恐縮なのですが、その場合は domain_policy.conf に use_profile 3 で 設定すればいいのでしょうか。 760 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 15:18:41 ID:DeMn8tFr] >>759 editpolicy（あるいはeditpolicy.sh）を使えば、ドメインのところに カーソルを移動して、「s」を押すとプロンプトがでますから、 「3」のようにするとOKです。（その状態でsavepolicyを実行すると use_profile 3なconfが保存されます。ただLiveCDは再起動すると 初期化されるのでご注意くださいw） 761 名前：750 mailto:sage [2008/03/20(木) 15:37:58 ID:uHEaUbK8] >>760 なるほど、色々ありがとうございますm(__)m 762 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 15:46:01 ID:DeMn8tFr] >>761 いえいえ、どういたしまして。(_ _) Software Designの最新号に「TOMOYO Linuxの歩き方」という記事が あるので、そちらも是非参考にしてください。 763 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 16:01:11 ID:DeMn8tFr] プロファイルの変更について、LiveCDのチュートリアルを参考に紹介して おきます。LiveCDは実験、練習に最適です。 ttp://tomoyo.sourceforge.jp/ja/1.5.x/1st-step/ubuntu7.10-live/ 764 名前：デムパゆんゆん [2008/03/20(木) 23:34:23 ID:f6kDCfqH] おはぎゃぁ〜〜〜 MLのツルボネタ読んだ。 うｐだてのスクリプトエラーで/.initが入ってないかとも思ったが、 リモートから進入されてないか？ｗという不安が頭をよぎった。 つるぼは時々わけわからんエラーでるからのぅ 何このしばいたろか？みたいな　うｐだてに失敗することもあった。 必要なライブラリが入ってなかったり いつの間にか依存で一緒になくなってたり そういやgrub.confとかにinit=/.initだっけ？ アレ書いてないと大変なことにｗ 誰もやってないならｳﾘが発祥ﾆﾀﾞ!と叫べる linuxぶちあげたリーナスみたく　全力でｵﾚ様仕様だな うん　OLS2008独演会一本目採用おめ 765 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/21(金) 17:20:10 ID:6zckFVut] >>764 >うん　OLS2008独演会一本目採用おめ どうもありがとう。ただ、直接TOMOYOの発表（提案）ではなく、 Linux自体の話になるため少々複雑な心境です。 プロジェクトとしてはあと熊猫先生の2件のうちの1件 (Tutorial)が現在結果待ち。発表予定は既にサイトで確認できます。 SELinuxはやはり強い。 ttp://www.linuxsymposium.org/2008/speakers.php?types=TALK ttp://www.linuxsymposium.org/2008/speakers.php?types=TUTORIAL ttp://www.linuxsymposium.org/2008/speakers.php?types=bofs 766 名前：login:Penguin mailto:sage [2008/03/22(土) 00:17:06 ID:I+OQFn9y] >>765 汝のあるべき姿で語りたいなｗ 767 名前：login:Penguin mailto:sage [2008/03/22(土) 21:02:15 ID:jTH0sfih] >>765 SELinuxはテンプレ化が進んでるからですかねぇ(と新参者ですが)。 768 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/23(日) 16:59:10 ID:wJIqMRFs] >>767 昨年と比べてSELinuxが急激に普及したり、使いやすさが大幅に改善されたとは 思えません。またELC, OLSに参加してみて、Linux自体として 特にセキュリティ強化(MAC)に関心が高いともいえない状況であることを 感じました。 そうしたことから今年はSELinuxを含め「個別の実装に関する詳細」や 「個別の機能や仕様を前提としたもの（含むチュートリアル）」は 採用されにくく、運用上の課題やその改善に関するものがメインテーマに なると予想していました。しかし、考えてみると採択を決めるのは 選考委員会のメンバーですから、たまたま選考メンバー (ttp://www.linuxsymposium.org/2008/cfp.php)が 興味を持っているか事情通でなければそうした事情は考慮されなくて 普通かもしれません。 そう考えるとSELinuxを使ってみようという人は着実に増えているでしょうし、 ドキュメントやツールなども改善作業が続いていますから、 チュートリアルや（一般向けの次のステップとしての）組み込みなどの 発表が採択されるのはわかります。（長文御免） 769 名前：デムパゆんゆん [2008/03/24(月) 21:41:30 ID:HGnMjrSK] ttp://itpro.nikkeibp.co.jp/article/NEWS/20080320/296641/?ST=oss こんなもの発見　NISC万歳 ＢＳＤのようにwheelグループに所属させないと　suできないとか ともよﾀﾝでパス管理する ただ管理するだけでなくもう一段深く逝っちゃったみたいな 一種の仮想化だな　chroot環境みたいな wheelグループに所属したユーザtomoyoからなら/dev/sdc1が見える 普通に/dev/sdc1と打ってもそんなファイルないﾆﾀﾞ!!!とか リモートから　/dev/sdc1のＣＤドライブにアクセスしても出来ない パスの拒否と言うよりは　登録されたパスのみ許可 山田びみょーにニュアンスが違う うん　アレだ　昨日レンタルで借りたダイハードに感化されちまぅこの頃 ネットワークもだな 仮想化すると　スクランブル発信の衛星電話でトニーと会話が出来ちゃうかな 攻撃は外からでなく中からも意識汁！とシーズン３で学習した ジャックとかトニーとか　なんだこの２ちゃん脳は www.foxjapan.com/tv/bangumi/24 シーズン１からがんばってレンタルしてみる 小春日和　更なる電波が脳内で飛散中　うむ 770 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 06:48:45 ID:RbKuLlro] >>769 >こんなもの発見　NISC万歳 この写真は何か変です（笑）が、BitVisorは用途によっては面白い 使い方ができると思います。 >攻撃は外からでなく中からも意識汁！とシーズン３で学習した 誰にでも権限を与えるわけにはいかないが、ジャックに権限を与えないと 解決しない。与えて良い相手に与えるべきときに権限を与えることが できるのが理想だが現実は・・・。そのように見ると24は実に味わい深いデス。 771 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 06:50:58 ID:RbKuLlro] 768と769を見て、やっぱり2ちゃんに長文は良くない（合わない）と思いました。 それはともかく、SF.jpのtomoyoプロジェクトの月間pvがついに名前騒ぎの時の 記録を更新しました。 ttp://sourceforge.jp/project/stats/index.php?report=months&group_id=1973 772 名前：login:Penguin mailto:sage [2008/03/25(火) 11:01:00 ID:xBK01x+J] > それはともかく、SF.jpのtomoyoプロジェクトの月間pvがついに名前騒ぎの時の > 記録を更新しました。 オメ 773 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 18:59:16 ID:QRHjGLzC] >>772 ガト! 774 名前：login:Penguin mailto:sage [2008/03/25(火) 21:46:58 ID:DkOcBX+S] 厨な質問なのですが、何故イニシャルドメインだけで学習って出来ないんだろう。。 フルパス(？)ドメインでなくてもいい気がするんですが。 775 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 22:56:14 ID:RbKuLlro] >>774 <kernel> /somewhere/foo /anywhere/bar の代わりに <kernel> foo bar で、ということですか？ 776 名前：login:Penguin mailto:sage [2008/03/25(火) 23:15:14 ID:DkOcBX+S] >>775 > >>774 > <kernel> /somewhere/foo /anywhere/bar の代わりに > <kernel> foo bar で、ということですか？ そうですね。いっそのこと、 <kernel> * /usr/bin/skype * とかはダメ？ｗ 777 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 23:41:35 ID:RbKuLlro] >>776 もし、「どんな順番で起動されたかにかかわらず/usr/bin/skypeおよびそれから 起動されたプロセスをひとつのドメインとして扱いたい（ゴルァ）」という意味で あれば、それは既に現在の仕様で対応できていますよ。(^-^)v 778 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 23:46:18 ID:RbKuLlro] それは要素としては、 ・「（起動順番にかかわらず）とにかく/usr/bin/skypeをドメインにする」 ・「/usr/bin/skypeが他のプログラムを実行(exec)してもドメインを分けない」 ということですが、initialize_domain, keep_domainがそのための指定です。 ttp://tomoyo.sourceforge.jp/ja/1.5.x/policy-reference.html 779 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/26(水) 00:01:46 ID:RbKuLlro] もしskypeだけでなくすべてのプログラムを履歴なしにフラットに 扱いたければ、AppArmorはそのようになっています。ただ、 容易に想像できるように「すべてのプログラム」のポリシー（プロファイル） が提供されているわけではありません。 780 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/26(水) 00:11:12 ID:gHPNZ0WQ] ドメイン遷移は図があったほうがわかりやすいですね。ということで 今日はここまで。 ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-3 781 名前：775 mailto:sage [2008/03/26(水) 10:06:33 ID:FOAtd5Rg] >>780 ありがとうございます！無事、initialize_domain設定したskypeのdomain_policyを学習させることが 出来ました。行が長いので、base64でエンコードさせて頂きました。 LS0oL2V0Yy9jY3MvZG9tYWluX3BvbGljeS5jb25mpM6w7Mn0IKSzpLOkq6TpKS0tLS0tLS0tLS0t LQo8a2VybmVsPiAvdXNyL2Jpbi9za3lwZQp1c2VfcHJvZmlsZSAyCgo0IC9kZXYvdXJhbmRvbQo0 IC9ldGMvWDExL2N1cnNvcnMvXCoKNCAvZXRjL2ZvbnRzL1wqCjQgL2V0Yy9mb250cy9jb25mLmF2 YWlsL1wqCjQgL2V0Yy9mb250cy9jb25mLmQvXCoKNCAvZXRjL2ZvbnRzL2NvbmYuZC90dGYtYXJw aGljLXVtaW5nCjQgL2V0Yy9mb250cy9mb250cy5jb25mCjQgL2V0Yy9nYWkuY29uZgo0IC9ldGMv Z3JvdXAKNCAvZXRjL2hvc3RuYW1lCjQgL2V0Yy9pc3N1ZQo0IC9ldGMvbnNzd2l0Y2guY29uZgo0 IC9ldGMvcGFzc3dkCjQgL2V0Yy9yZXNvbHYuY29uZgo0IC9ldGMvc2VsaW51eC9jb25maWcKNCAv aG9tZS9cKi8uSUNFYXV0aG9yaXR5CjQgL2hvbWUvXCovLlhhdXRob3JpdHkKNCAvaG9tZS9cKi8u Y29uZmlnL1Ryb2xsdGVjaC5jb25mCjQgL2hvbWUvXCovLmZvbnRzLmNvbmYKNCAvcHJvYy9cJC9j bWRsaW5lCjQgL3Byb2MvY3B1aW5mbwo0IC9wcm9jL3N0YXQKNCAvdXNyL2xpYi9cKgo0IC91c3Iv bGliL2djb252L1wqCjQgL3Vzci9saWIvcXQ0L3BsdWdpbnMvaW1hZ2Vmb3JtYXRzL1wqCjQgL3Vz ci9zaGFyZS9YMTEvbG9jYWxlL1wqCjQgL3Vzci9zaGFyZS9hbHNhL1wqCjQgL3Vzci9zaGFyZS9h bHNhL1wqL1wqCjQgL3Vzci9zaGFyZS9mb250cy9cKi9cKi9cKgo0IC91c3Ivc2hhcmUvaWNvbnMv XCoKNCAvdXNyL3NoYXJlL2ljb25zL1wqL1wqCjQgL3Vzci9zaGFyZS9pY29ucy9cKi9cKi9cKgo0 IC91c3Ivc2hhcmUvc2t5cGUvXCoKNCAvdXNyL3NoYXJlL3NreXBlL1wqL1wqCjQgL3Zhci9jYWNo 782 名前：775 mailto:sage [2008/03/26(水) 10:07:14 ID:FOAtd5Rg] (>781の続き) ZS9mb250Y29uZmlnL1wqCjQgL3Zhci9saWIvZGVmb21hL2ZvbnRjb25maWcuZC9mb250cy5jb25m CjYgL2Rldi9zbmQvXCoKNiBASE9NRS1TS1lQRS1ESVIKYWxsb3dfY3JlYXRlIEBIT01FLVNLWVBF LURJUgphbGxvd19yZW5hbWUgQEhPTUUtU0tZUEUtRElSIEBIT01FLVNLWVBFLURJUgphbGxvd190 cnVuY2F0ZSBASE9NRS1TS1lQRS1ESVIKYWxsb3dfdW5saW5rIEBIT01FLVNLWVBFLURJUgotLSgv ZXRjL2Njcy9kb21haW5fcG9saWN5LmNvbmakzrDsyfQgpLOks6TepMcpLS0tLS0tLS0tLS0tCgot LSgvZXRjL2Njcy9leGNlcHRpb25fcG9saWN5LmNvbmakzrDsyfQgpLOks6SrpOkpLS0tLS0tLS0t CnBhdGhfZ3JvdXAgSE9NRS1TS1lQRS1ESVIgL2hvbWUvXCovLlNreXBlL1wqCnBhdGhfZ3JvdXAg SE9NRS1TS1lQRS1ESVIgL2hvbWUvXCovLlNreXBlL1wqL1wqCnBhdGhfZ3JvdXAgSE9NRS1TS1lQ RS1ESVIgL2hvbWUvXCovLlNreXBlL1wqL1wqL1wqCnBhdGhfZ3JvdXAgSE9NRS1TS1lQRS1ESVIg L2hvbWUvXCovLlNreXBlL1wqL1wqL1wqL1wqCmluaXRpYWxpemVfZG9tYWluIC91c3IvYmluL3Nr eXBlCi0tKC9ldGMvY2NzL2V4Y2VwdGlvbl9wb2xpY3kuY29uZqTOsOzJ9CCks6SzpN6kxyktLS0t LS0tLS0K 783 名前：login:Penguin mailto:sage [2008/03/26(水) 12:41:32 ID:FOAtd5Rg] ちょっと思ったのですが/etc/xinet.d/* のように、 配置できると嬉しいかなぁと思いました。 素人ですが^^ /etc/ccs/domain.d/skype.conf 784 名前：デムパゆんゆん [2008/03/27(木) 00:07:15 ID:4Ic0r+jb] >>780 ＞今日はここまで。 そう言わずにもう一軒　ええ店見つけましてん。 785 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/27(木) 01:27:26 ID:GkuWGSy/] >775 ポリシー設定ありがとうございました。 開発メンバーに見てもらいましたが、特に問題なく良い設定とのコメントでした。 こうした例を公開する場所があると良いかもしれませんね。 786 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/27(木) 01:35:59 ID:GkuWGSy/] >>783 面白いアイデアと思い開発メンバーに紹介しましたが、どうも 今ひとつくいつきがよくありませんでした。 ただ、loadpolicyコマンドを使えば、ポリシーの（追加）読み込みが できますから、skype.confのように分割されたポリシー定義を 読み込ませるようなスクリプトを書けば、現仕様のまま実現できます。 ttp://tomoyo.sourceforge.jp/ja/1.5.x/tools-doc.html 787 名前：775 mailto:sage [2008/03/27(木) 14:35:51 ID:36/2jW14] >>785 あ、そのプロファイルは自分の暫定的なものです^^。 >>786 なるほどです。ありがとうございます。 788 名前：login:Penguin [2008/03/27(木) 22:15:54 ID:aUlsUaZR] インストールしましたが 全然「ほえ〜」でもなければ「はにゃ〜ん」でもありませんでした なにか設定が間違っているのでしょうか？？ 789 名前：login:Penguin mailto:sage [2008/03/27(木) 22:41:13 ID:LLacTuUH] >>788 確かtcshをインストールしないと 790 名前：login:Penguin mailto:sage [2008/03/27(木) 23:32:29 ID:aUlsUaZR] >>789 ググってもＨＰ見てもなんかよくわかりませんでした ｋｗｓｋお願いします　＞＜　ヒントだけでも 791 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/27(木) 23:46:38 ID:GkuWGSy/] >>788 設定というよりは板が違っています（合掌）。 >>790 多分、下のようなことかな？ ttp://www1.linkclub.or.jp/~zhidao/zlab/computing/tcshjacatalog.html しかし、これはTOMOYO Linuxの機能ではないので、そこのところよろしく (--; 792 名前：login:Penguin mailto:sage [2008/03/28(金) 00:21:02 ID:Xn8XQWtD] ほえ〜 なんとなくわかりました もともとそういうのじゃなかったんですね　＞＜ 793 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/28(金) 00:33:42 ID:LvZYfaJl] >>792 まぎらわしくてすみません。(_ _) 誰も読んでいないと言われていますが、一応FAQもあります。 ttp://tomoyo.sourceforge.jp/wiki/?QandA これも何かの縁ということで、良ければまた遊びにきてください。 794 名前：login:Penguin mailto:sage [2008/03/31(月) 19:15:11 ID:rAd33tqq] tcshカタログの話題はUnix板でということなのか、 CCさくら板行けということなのか、激しく迷いますな 795 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/31(月) 22:47:53 ID:QQCeYF87] >>794 >激しく迷いますな 私が2chで読んでいる板はここだけで、実は他にどんな板があるか さっぱりわかっていません。なのでどんな板が良いというコメントはできないのです。 なお、言いたかったのは、「探しているものはここ（この板）にはありませんよ （時間をかけて探しても見つかりませんよ）」という意味です。 796 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/08(火) 22:11:01 ID:+7lkCNUj] 4/4に7度目のLKML提案を行いました。Stephenから「どういうつもりだ？」と いう励ましのメール（私信）をもらいました。 ついにSELinux陣営あるいはNSAと決着をつけるときがきたのかもしれません。 これから戦いを始めます。 797 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/08(火) 22:14:11 ID:+7lkCNUj] TOMOYOのメインライン提案のスレッドは、 ttp://elinux.org/TomoyoLinux ttp://tomoyo.sourceforge.jp/wiki-e/?WhatIs#mainlining あたりからたどってください。 逝ってきます。 798 名前：デムパゆんゆん [2008/04/10(木) 03:44:28 ID:zrE8TllQ] 大本営ﾊﾋﾟｮｰ 硫黄島の決戦でつか　 栗林中将でつね　4月４日は真珠湾の奇襲のようでもありまつ ﾄﾗﾄﾗﾄﾗでつね 中将殿に武運長久 天皇陛下万歳!!! 799 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/10(木) 06:31:25 ID:tRh1J33s] >>798 >4月４日は真珠湾の奇襲のようでもありまつ 言われてみれば確かにそうなのです。さすがデムパ君でつね。 4/9の投稿は、さりげなくこれまでの歩みをアピールしているのが ポイントでつ。「ちゃんとやってきているからいれてほすぃ」と せつせつと訴えていまつ。PacSecもFOSDEMも実はいつかこうして NSAに宣戦布告をするときのための準備だったのでつ。壮大な計画で、 大石内蔵助なのでつ。この意味がわかれば、デムパ君の電波も相当でつ。 ここからは大きな失敗をしなければ勝てるはずでつ。 でふぁ 800 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/10(木) 06:34:36 ID:tRh1J33s] TOMOYO Linuxの今までの経緯をわかつて読めば、 今のLKMLのスレッドはとてつもなく面白いのでつ （やってるほうは大変なのでつが）。 巨大な陰○との最終決戦でつ。 801 名前：login:Penguin [2008/04/10(木) 08:48:39 ID:MSodk0Ja] またサボってしまった（汗＆謎 書き、書き、理解。 802 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/12(土) 07:48:15 ID:z8OrFnDV] 4/4のLKMLへの投稿について、おそらく初めてStephenからレスが ついていますが、その他に私信で、「なにやってるんだ？」という 内容のメールをもらいました。 LKMLでは今もStephenとのやりとりが続いていますが、彼はそれとは別に 私信でも熊猫先生に提案について意見、助言をしてくれています。 「手伝って」くれています。 4/4の投稿については、Andrew Mortonからも熊猫先生に私信が届いています。 803 名前：デムパゆんゆん [2008/04/12(土) 10:06:32 ID:5715pAtk] 思考停止逆切れ作戦なのかマヂなのか　ﾜﾛﾀ 大量パッチ放火 ん？ SELinuxがあるだろ常孝 LSMいらんだろ常孝 長文うぜ〜 お茶飲む? なんだよ　２ちゃん脳ばっかりぢゃないかw 今までカーネルセキュリティー全力で逃げてたしな 神様とかアランとか　LSMの時も全力で後ろ向いて ｦﾚ忙しいし　うん　ちょっとトイレとか うん　ぢゃぁ　入れる　といやいや入れてた記憶がある ポールの思考停止いいねいいね　ツンデレなのか　ひねくれてんのか 記憶は捏造できる　ﾌﾌﾝ 804 名前：login:Penguin mailto:sage [2008/04/15(火) 01:21:37 ID:DYlit/aQ] >>799 別にその辺で喋ったからどうこうつうのはあまり関係ないと思うわけで。 その結果えらい人が興味を持って味方してくれれば別なんだけど。 # 俺が外で喋るのは入れてもらってからなんでよくわからん。 まあとりあえず今のは既存コードへの影響がでかすぎて、レビューすら やってもらえん状態じゃないかと。 805 名前：login:Penguin mailto:sage [2008/04/15(火) 01:27:21 ID:DYlit/aQ] >>803 えらい人はそういうのに興味がない＆よくわからんので関わり合いを避けたい。 というのが本音なのでつ。 なのでLSMという壁を作って、セキュリティのことは壁の向こうで話し合えや。 LKMLに持ってくるんじゃねえ。てことにしたのでつ。 806 名前：デムパゆんゆん [2008/04/15(火) 02:16:30 ID:gc7ozife] >>805 やるなら今しかねぇｗ 誰だって面倒なことしたくね〜　　　ｦﾚもだ　　　正直面倒 ＞まあとりあえず今のは既存コードへの影響がでかすぎて、レビューすら ＞やってもらえん状態じゃないかと。 激しく同感　返信の中にＬＳＭの中でやってくれないかとかあったし 本体に影響しない仕様変更とか出来ないなら ＬＳＭの仕様変更とか　結局メンテナの負担だわな つかＬＳＭの人がずっと思考停止ｗ　ともよ？　ｲﾗﾈだし 807 名前：login:Penguin [2008/04/15(火) 03:16:42 ID:NNSBLErA] selinuxに挫折したオレ サルでもわかるTOMOYOってどこかにない？ 808 名前：login:Penguin mailto:sage [2008/04/16(水) 00:02:58 ID:aGXleYF5] >>807 TOMOYOはSE Linuxと比較したら解りやすいと思う 多分必要なのはMACやアクセス権、システムコールって何？といった知識だと思う LiveCDで学習モードのまま眺めてればなるほどと思うかも ttp://tomoyo.sourceforge.jp/wiki/?TomoyoLive 809 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 01:03:29 ID:PeDWAeKt] >>807 ツルボから始めてみるのはどうかな？ インスコしたり試すのはツルボでなく他の鳥でもできるけれど ツルボだと、鳥をつくっているチームとTOMOYOチームが合同で 作ったポリシー（サポート不要なら参照は無料）があるから、そこから 始めてみるには良いと思う。 ttp://www.turbolinux.co.jp/products/server/11s-tomoyolinux.html 810 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 01:08:15 ID:PeDWAeKt] >>808 >LiveCDで学習モードのまま眺めてればなるほどと思うかも 確かに。先日LiveCDのポリシーをlxrにあげますた。 ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source/ubuntu-7.10-ccs-1.5.3/domain_policy.conf?v=policy-sample 811 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 01:15:39 ID:PeDWAeKt] 隊長、報告が遅くなりまつたが、ELC2008会場に潜入しますた！ Henry Kingmanのキーノートが始まっていまつ。英語です。（笑） 今のところ敵の姿はありません。 何かあれば、どこよりも早くここで報告します。でふぁ 812 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 02:59:53 ID:PeDWAeKt] 隊長、TOMOYOセッションについて報告します。 講演用のPCが前日起動しなくなり、システムの復元を行い本番に 備えましたが、講演直前の５分前に再び不調、バックアップ機を 用意しましたが、そちらも原因不明で起動しないという ありえないほど過酷な状況の中、なんとか本番直前に復帰、講演を完遂しますた。 参加者は約２０名、主な質疑はポリシーの記法に関する内容と 初期設定を行うためのツールの有無、CPUアーキテクチャ依存でした。 813 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 06:41:01 ID:PeDWAeKt] LWN.netのJake Edgeの講演が終わりました。 "Avoiding Web Applications Flaws in Embedded Devices"というタイトル ですが、既に資料が公開されています（TOMOYOの名前もでてきます）。 ttp://lwn.net/talks/elc2008/img0.html といっている間に、中村さんの講演が始まりました。 814 名前：login:Penguin mailto:sage [2008/04/16(水) 07:00:47 ID:aGXleYF5] おはようございます。 Jakeのプレゼン資料を見た限りでは組み込み関係なくWebApplication作成時の注意で それに加えて組み込み系にありがちなURL固定とか認証サボりがあるから余計に注意しろよーって話みたいですねー で、TOMOYOがあると必要としないモジュールを洗い出すのに便利っすよみたいな感じで触れたのかしら？ それともPathチェック漏れでもTOMOYOが有れば防げるかもみたいな感じかにゃ？ 815 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:14:36 ID:PeDWAeKt] 説明的には、「こうした技術を使えば、OSレベルで被害を軽減することも できるようだよ」というくらいの感じでした。正直言って、Jakeはあまりこのあたり（セキュアLinux）に 明るくないように見えました。 816 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:32:41 ID:PeDWAeKt] 中村さんの発表が終わり、まもなく海外さんの発表が始まります。 今日は初日でつが、夜にはセキュアEmbeddedのBOFもあり、一日に 集中してしまいまつた。時差がこたえまつ。中村さんの発表は、 内容はわかったのですが、もともとTOMOYOであれば実現/対応できていること ばかりのような気がして、「何故あえて（組み込みで）SELinuxでつか？」と いう疑問が生じてしまいます。 817 名前：login:Penguin mailto:sage [2008/04/16(水) 07:44:32 ID:aGXleYF5] >>815 まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。 組み込みじゃないWebApplicationの監査とかやってる人から見れば何を今更な話題なのかも。 悪意のあるユーザーからのリクエストを直接受け付けないから比較的安全と思われてた組み込み形も ブラウザやらプラグインやらの穴を使ったりしたXSSやらXSRFやらで危険に晒されてるって事が重要なんですよね。多分。 実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにするとWAN側が開いて謎の裏口ID&パスで入れるようになったり(w 一応NTTのメンテナンス用IP帯からしか接続受け付けないようになってるっぽいしデフォルトOFFですが・・・ 818 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:50:26 ID:PeDWAeKt] >>817 >まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。 そうですね。あと、どうしてLWNの人がこの話題なのかなと思いました。 >実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにすると・・・ ルータ（英語の発音だと「ラウター」に近い）はよくやられるという 話がでていました。 海外さんの話が始まりましたが、「そもそもセキュアOSとは」とか 「Protection Profileとは」というところから始めています。(@_@; びっくり 819 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:58:24 ID:PeDWAeKt] >>816 やはりTOMOYOはまだまだ知られていなくて、組み込み分野を含めて 本当はTOMOYOだとうまく解決できる場合もそれに気づいてもらえていないのか と思います。そういった意味でもメインライン化はやはりどうしても なしとげたいです。 会議に出る目的のひとつは、TOMOYOを含めたセキュアOSに対する「温度」を はかることで、講演の参加者と質疑が参考情報です。今年は昨年よりは確実に 高まっていると思いますが、まだ一部の人という印象です。 820 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:06:02 ID:PeDWAeKt] さきほど、LXRにversion 1.6.0を追加しました。1.6.0は1.5.3との 差分が大きいため当面は両方とも残しておきます。 ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source/ version 2.Xは、ちょっと中途半端な状態になっているため、 帰国後整理した上で追加します。 821 名前：login:Penguin mailto:sage [2008/04/16(水) 08:09:22 ID:/Z5CkmBk] TOMOYOじゃなくてYaSELinuxとかにしたら一気に普及してたかもなｗ 822 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:16:16 ID:PeDWAeKt] >>821 最初は失敗したと思いましたが、なんだかんだ名前が注目されたことにより、 ここまで（メインラインに挑戦できるまで）こられた部分があるように思います。 YaSELinuxだとその点、やや微妙かも。またSELinux陣営が許さないでしょうw 823 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:24:51 ID:PeDWAeKt] 7回目の提案のスレッドで、こんな図を投稿しています。 ttp://article.gmane.org/gmane.linux.file-systems/22495 AppArmorやTOMOYO Linuxはnamespaceの世界で処理をしていて、 VFSやLSMではinodeの世界です。残念ながらnamespaceの世界は、 その中だけでは完結せず、二つの世界をブリッジするためにvfsmountの パラメータを渡せるようにしたいというのがoption 1ですが、VFSの Al Viloがくせ者でウンといいません。optoin 2はそれをせずにフックを 追加「させてもらう」で、4/4の投稿はそのどちらでもなく、LSMとは別の 仕組み（フックセット）を提案した形でいろいろ怒られました。 824 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:30:41 ID:PeDWAeKt] メインライン化がなかなか進展しない理由のひとつは、メンテナ間の関係が 見えないことにあると思っています。特定のモジュールに閉じた話だと 簡単ですが、このように複数に関わり、かつ発言しないメンテナがいる状態だと どう進めるかが難しく、あちらたてればこちらたたずというか常に誰かに 反対されます。皆自分のところに自分が必要と思わない変更をしたくないからです。 # 海外さんの発表はついにPOSIX Capabilitiesのページにきました。 825 名前：login:Penguin mailto:sage [2008/04/16(水) 08:43:46 ID:aGXleYF5] >>818 確かにラウターですね(w 遠い昔、某橋のロゴの中の人がそんな感じの発音してますた。 ルータは設定変更する事でWAN側からLAN側に進入するのに使えますし、 24時間電源が入ってますから攻撃の踏み台としても旨いのでしょうねぇ。 IPアドレスも192.168.*.1辺りでほぼ固定ですし。(0,1,11,2辺りがメジャー) さらにまずいことに設定の容易化の為に意図的に固定したDNS名とかを付けちゃったりするのでより厄介っすな。 例： NEC "web.setup" I-O "airport" NTT(oki) "ntt.setup"など TOMOYOが有効なら最悪でもルータ自体に変な卵を植え付けられるのを防げるかな？ # 非正規ファームでシステム全体を乗っ取られた場合を除く 最近のネタだとFlashが接続先を限定しないのを悪用してUPnPを使ってポートを強制解放とかいうネタがありましたな。 UPｎPが信頼したネットワークからの通信のみを想定して認証を捨て、一方通行でもおｋにしたのが仇になったというかなんというか。 # オフトピばっかでごめんよー >>824 大規模オプソの負の面なんでしょうかね？ GUI周りなんかでもそうですけど、横(プロダクト・モジュール間)の繋がりがよろしくないんですよね。 簡単な例だとカラーマネジメントとか未だにどうなっちょるねんって感じ。 826 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:57:02 ID:PeDWAeKt] >>825 >TOMOYOが有効なら最悪でもルータ自体に変な卵を植え付けられるのを防げるかな？ 鋭いですね。組み込みの場合は、外部不正アクセス全体を神経質にはじくと いうよりは、特に重要な操作を保護する形が一般的だと思っています。 >大規模オプソの負の面なんでしょうかね？ このあたりは我々にはわからない微妙なメンテナの力関係があるようで、 StephenでもAl Viloに指図はできないようです。おそらくTOMOYO以外でも 複数のメンテナやシステム全体に関わる変更であれば同じようなことが 起きているはず。 Linusが一喝するという解は存在しますが、それを意図的に起こすことは 難しく、だとすると世論？で流れを作るのが現実的かと思っていて、 そのような誘導をしているわけです（深いでしょ？（笑）） /etc/shadowのような各論は、ちゃんと議論したらおそらく負けないのですが、 相手が不特定多数かつ根拠がなかったり感情的な発言をして逃げてしまう人などが いますし、過去のスレッドを見ても結論がでずにもめて終わるケースが多いと 思っています。白黒つけるにはmlは向いていません。 827 名前：login:Penguin mailto:sage [2008/04/16(水) 09:20:29 ID:aGXleYF5] >>826 まぁ、彼(Al Viro)の言い分としては俺より上の情報が欲しいならそっちで対応しろって感じかバグとかソース肥大化とかレスポンス低下とかが嫌って感じでしょうかね。 後>>823の絵に現状を追記して如何に歪か強調しておくとか(笑) 例えばこんな感じで ttp://www.imgup.org/iup593994.png.html # 色々エラソーな事言ってましたがLinuxカーネル周りの理解度が足りてないので変な可能性あり。 828 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 09:27:26 ID:PeDWAeKt] >>827 楽しい絵をありがとうございました（笑）。 ただ、このあたりの加減が難しくてやりすぎると逆効果になりますし、 ジョークや遊びもはずしてしまうと大変寒い思いをします（経験あり）。 LKMLの発言自体も一種の流儀があって、このごろやっとそれがわかってきました。 Alの場合は、熊猫先生によると「思想、考え方（好き嫌い？）」的な反対 されているようで、まもとな議論すらさせてもらえない状況です。 829 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 09:35:35 ID:PeDWAeKt] 話は変わって、4/18に発売されるSoftware Designに「TOMOYO Linuxの歩き方（後編）」が 掲載されますが、結構画期的な記事になっています（笑）。 正直、「ちょっと書きすぎた」かもしれません。是非前編と併せてお読みください。 830 名前：デムパゆんゆん円高まんせ〜 [2008/04/16(水) 09:41:23 ID:gcOHAMwF] ＞selinuxに挫折したオレ ＞サルでもわかるTOMOYOってどこかにない？ ってＬＫＭＬに放火していいでつかそうですねだめでつね なんかスレ伸びてるなぁと思ったら イラクの自由作戦みたく波状攻撃でつか 別働隊はどこかで攻撃してるのでつね ＞白黒つけるにはmlは向いていません。 そこで、連日罵倒大会絶賛開催中の某巨大掲示板 メンテナの買収だなｗ　金がだめなら女だ だた様の資金力を持って全力でＬＫＭＬ特攻 ｱﾙﾋﾞﾉの買収はだな　ＬＳＭが出来た頃どういう立場にあったとか 思想信条　背景調べて　うん ちょっとＣＴＵ逝って来る 831 名前：login:Penguin mailto:sage [2008/04/16(水) 09:47:29 ID:aGXleYF5] 今更ですけど、私はLSM周りの議論も追いかけ切れてないしTOMOYOのソースも把握してない一般＆初心者ユーザーよりの名無しさんなのでスルーしたほうがよい事もあります。 # TOMOYOの上層での概念(名前空間によるMAC)を理解して、こう動いてるだろうというのを妄想しているだけです。 ## どうやらこの名無しさんはブラックボックステストのやりすぎで妄想屋さんになっちゃったようです。 あの絵を更にプレゼンぽくするならAppArmorやTOMOYOの箱をLSMの箱から飛び出させてnamespace空間辺りから矢印を引っ張る手もありますな。 後Before/AfterみたいにしてAlが対応してくれたらスッキリするんだよっという点を強調したりとか。 まぁ、Al Viro氏と直接関係するのはLSM全体のChris Wright氏のようなのでChris氏経由になるでしょうが。 ただ、>>828によると思想で好き嫌いっぽいし場の雰囲気も商談(?)とは違うっぽいのでなかなか厳しいですかね。 気分屋さんとお付き合いするのは私は苦手だなー >>829 試しに前編読んで役立ちそうなら買ってみますー。まだ残ってるかなぁ？ なければ図書館で複写サービスのお世話になりますか。 とにもかくにも色々頑張ってください。 # 俺も頑張らなきゃー 832 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 10:39:12 ID:PeDWAeKt] >>830 >なんかスレ伸びてるなぁと思ったら 本当は到着初日からレポートする予定でしたが、ホテルのネットワークから だと規制されていて書き込みができなかったのです。 >そこで、連日罵倒大会絶賛開催中の某巨大掲示板 ここにいろいろ書いているのは、なんとなく書いたことが理解されているように 思うからです。日本語的にはいろいろ問題がありますが（笑）、言葉の はしはしにそれを感じます。冗談抜きでこんな感じでLinuxの仕様について 議論できる場があれば良いと思いますよ。 833 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 10:45:35 ID:PeDWAeKt] >>831 実はあの図は、上に書かれていることを暗黙のうちに主張しています。 メンテナの名前は本来不必要ですが、いれているのはChrisが何もして くれないということを訴えていますし、整理された図を見ると 「なんだ、Alがvfsmount受けてやればいいんじゃん」と気づくはずです。 >試しに前編読んで役立ちそうなら買ってみますー。まだ残ってるかなぁ？ 少なくともバックナンバーは買えます。(^-^; 前編の内容は各種情報源の紹介で、いわば観光名所の紹介です。この板を 見に来ている人なら半分くらいは既におなじみだと思います。 後編はただ場所ではなく目的ごとの「読み方」を扱っており、そのほか デラックス付録として「名前の由来」について書いています。と言っても 別に最初から隠しておらずこれまでも機会あるごとに説明した内容ですが。 834 名前：デムパゆんゆん円高まんせ〜 [2008/04/16(水) 11:09:01 ID:gcOHAMwF] よくあるネタ クリスは置き物で　ｱﾙﾋﾞﾉの後ろにラスボスが じつわ神であった。　　二人はｱ"ｯｰな関係 スマックやselinuxの中の人はＬＳＭ どう思ってるのかしらん セキュア陣営で共同戦線!!!とか われわれはぁ　断固抗議するアル 抵抗勢力はぶっつぶすとかｗｗ selinux出てきたときも猛烈な反発あった気が駿河 で、出てきたのが上にもあるようにＬＳＭ通してそっちでやって栗と 835 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 11:36:23 ID:PeDWAeKt] 「今」こちらの時間で4/14 19:32です。 "security BoF"が始まりましたが、日本人は中村さん、海外さんを 含めて6名、日本人以外は4名という構成です、 と書いていたらMontaVistaのHadiが入ってきて今挨拶をしました（実況中継みたい）。 836 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 11:40:33 ID:PeDWAeKt] TOMOYOプロジェクトは過去何回かJapan Technical Jamboreeに参加して いますが、セキュアOSに関する知識や関心は国内はかなり高いと思います。 SELinuxでもSmackでも良いから、国内の組み込みで積極的に導入して、 海外のユーザをリードしていく、くらいだと良いのですが。 837 名前：デムパゆんゆん円高まんせ〜 [2008/04/16(水) 18:44:39 ID:gcOHAMwF] 今頃、ダメリカ特攻隊はサンノゼの空飛んでる夢見てるんでつね リードするなら釣るネタいりまつ selinuxにしても現状漠然としたイメージ　わかりやすい事例とか 目立でちょっとしゃちょ〜つかまえてだな 協業相手見つけたから　プレス撃てと selinuxでＯＯ社と協業することに　採用事例もうんぬん 組み込み　STBとかケータイとかかのぅ？ 車業界も最近同業他社でモジュール共通化とか　今頃言い出したし 車はカーナビとか　ほとんどWANだ　防御にはいいかしらん？ itproで　linuxのセキュリティー界隈に変化が！　とか記事出して 日経linuxで来月号　緊急増刷　１０ページ追加 linuxのセキュリティーの今！ セキュア陣営を筆頭にlkml新たな動き！ 今まで挫折を繰り返したあなた　selinuxがこんなにも簡単に導入！とか 煽って煽ってだな　メディア戦略おけ〜ｗｗｗ それでふぁ　再潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ 838 名前：login:Penguin mailto:sage [2008/04/16(水) 23:59:21 ID:JHS2xGmI] うぅむ…。 日常やるコンパイルは監視させたくない(make なんかでドメインが 大増殖するから)けど、 firefox とか skype とかのネットにつながるものの動 きは監視しときたい。とすると、 initialize_domain を連発するしかないのか なぁ…。 839 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/17(木) 03:27:42 ID:mbLpQzdf] >>838 initialize_domainの効果は、複数の起動形態を持つものを同一の ドメインとして扱う、および<kernel>直下のドメインになるということで、 アクセス制御の内容自体とは直接関係しません。 LiveCDでは<kernel>ドメインのみを学習モードのプロファイルとして 定義していますが（この板の上のほうを参照ください）、監視（制御）したい ドメインを「陽に」制御するプロファイルで書いておくと、やりたいことが 実現できます。（この説明でぴんとこなければまた質問ください） 840 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/17(木) 03:33:10 ID:mbLpQzdf] さきほどAndrew Mortonのキーノートが終わりました。 生Mortonを至近距離で見ました（笑）が、「なんでも俺に相談しろ (Ask me!)」と強調されていました。お話しようと思ったのですが、 すぐにたくさんの人に囲まれて（ディズニーランドのミッキー状態） まだアクセスできていません。がんばります（何を？） 841 名前：login:Penguin mailto:sage [2008/04/17(木) 14:57:07 ID:BWf/C86W] やっぱり、 initialize_domain連発したくなるよなあ。 842 名前：login:Penguin mailto:sage [2008/04/17(木) 21:54:56 ID:eiQcPVPB] 一般の用途だとほんとに監視したいのはネットにつながる子が変なことしないか、だけだからねぇ… 843 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 00:46:23 ID:YFqemKaX] >>841 >>842 initialize_domain連発しても全然問題ないですよ。 「必要なところ（ドメイン）を見極めてしっかり守り、それ以外は 学習、あるいは無効モードで」というのが現実的な運用スタイルだと 思います。 844 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 01:32:28 ID:YFqemKaX] ttp://lwn.net/SubscriberLink/277833/20faea932562b2aa/ 845 名前：login:Penguin mailto:sage [2008/04/18(金) 01:41:32 ID:PtogwsB7] おお、なかなか興味深い事態に。 846 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 01:51:07 ID:YFqemKaX] >>845 そう。その通り。 ttp://thread.gmane.org/gmane.linux.kernel.lsm/6042 ttp://d.hatena.ne.jp/himainu/20080417#1208420136 847 名前：LiveCDの中の人 mailto:sage [2008/04/18(金) 02:10:37 ID:YFqemKaX] >>841 >>842 1つの手段として、 keep_domain <kernel> してしまってすべてのドメインをデフォルトでわけないようにしておき、 initialize_domain /usr/bin/firefox initialize_domain /usr/bin/skype でfirefoxとskypeだけを特別扱いする、という手段があります。 TOMOYOは「すべてのexecで自動的にドメインを分ける」のがデフォルトで、 ユーザが意識せずともアクセス制御の単位を細かく切り分けるのが特徴ですが、 逆にこれが鬱陶しい場合は上記のように思い切ってkeep_domainするのがおすすめです。 （いずれにせよ「分けるのがデフォルト」なので、initialize_domainの連発は必要ですが） 848 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 02:21:35 ID:YFqemKaX] 以前も書きましたが、「こんなことできないの？」と思いつくような ことはだいたい実現されているのではないかと思います。 実現されていない場合は、内容を検討して、有用であれば実装されるかも しれません。 疑問、質問、どんな内容でも良いですから気軽に書き込みください。 849 名前：login:Penguin mailto:sage [2008/04/18(金) 06:11:46 ID:cOa8NbkQ] ツバサクロニクル系というか魔法剣士系の採用はありますか？ 850 名前：login:Penguin mailto:sage [2008/04/18(金) 06:12:25 ID:cOa8NbkQ] てかMOKONA Linuxはいただいた！ 851 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 07:26:18 ID:YFqemKaX] >>849 「採用はありますか」の意味が不明のため回答不能です。 >>850 てかさしあげようがありません。 >>848 >疑問、質問、どんな内容でも良いですから気軽に書き込みください。 「TOMOYO Linuxに関する疑問、質問」であれば「どんな内容でも」という ことです。 852 名前：デムパゆんゆん [2008/04/18(金) 23:09:52 ID:VTKRkwhl] 回答不能でバッファオ〜バ〜フロ〜発生 ばぁぶぅ〜 853 名前：login:Penguin mailto:sage [2008/04/18(金) 23:10:32 ID:cOa8NbkQ] 神が気分を害されたｗ 854 名前：デムパゆんゆん [2008/04/19(土) 00:03:26 ID:ZON2E7Cb] 気分を害されたのでつね 神様申し訳有馬温泉 どうすれば？　もぅいいクビだ ・・・・・。 職安逝って来る さて、バッファオ〜バ〜フロ〜でつ 学習モ〜ドでふぁログをガリガリと書いていきまつ 禁欲モ〜ドでどうなるﾆﾀﾞね 常用環境で試して　どうなろうと僕はしりましぇん こ〜ゆ〜のは業界でテストケ〜スと課言うんでつか バッファオ〜バ〜フロ〜起こさせるようなプログラムないか ちょっとＣＴＵ行ってくる 855 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:19:07 ID:J3xqYE8V] >>853 気分を害したわけではありません（それ以前に「神様」もないけど）。 基本的にここに書き込んでくれた人には返事をしたいと思っていますが、 「採用」がTOMOYOを使ってみたい、あるいは開発に参加したいの意味か 不明で返答ができなかったということです。 >>851 >「TOMOYO Linuxに関する疑問、質問」であれば「どんな内容でも」という と書いた意図は、それ以外を書かれると、「返してあげたくても返して あげられない（心苦しい）」ということです。 856 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:22:59 ID:J3xqYE8V] >>854 雇ってないので大丈夫です。 >学習モ〜ドでふぁログをガリガリと書いていきまつ >禁欲モ〜ドでどうなるﾆﾀﾞね >常用環境で試して　どうなろうと僕はしりましぇん サーバはしにましぇん。クラックされてもしにましぇん。 もともと常用環境で使うのが本来なのでつ。禁欲モ〜ドでいくには、 ちゃんとぽりすぃ違反を監視して、対処できるようにしておかなければ いけましぇん 857 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:30:33 ID:J3xqYE8V] >>854 >常用環境で試して　どうなろうと僕はしりましぇん ばかやろー リスクを恐れていてセキュアOSが導入できるか！（ごるぁ） ━━━( ﾟДﾟ)凸━━━ !! デムパ、逝ってよし！あとは俺たちに任せろ（俺たちって誰だ？） 858 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:33:41 ID:J3xqYE8V] 自分で書いたものを自分で読んでびっくりかつ自己嫌悪だが、 しかし、本当にそういうことなのだよ。おまいならわかってくれると信じる。 ＞デムパ 859 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/20(日) 15:45:22 ID:s3pqM0To] ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-April/000429.html LWN.netのJonathanの記事の日本語訳です。 860 名前：login:Penguin mailto:sage [2008/04/20(日) 21:53:04 ID:mkNbjbzD] ふむぅ…許可ログが溢れる。 何故許可ログが/var/log/tomoyo/reject_log.txtに書き込まれるのじゃろう。 MAX_GRANT_LOG=0にしても書き込まれる。 カーネル再構築の際にMAX_GRANT_LOGの標準値を0にしても書き込まれる。 Vine4.2、TOMOYOタンは1.6.0。 TOMOYOタンが1.5.xの頃は書き込み抑制できたのに…。 我が悪いのか我が悪いのか我が悪いのかorz 861 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/20(日) 21:59:21 ID:s3pqM0To] >>860 version 1.6では多数の機能追加だけでなく、LKML提案のための コーディングスタイルの変更が行われており、もしかしたらそれが関係した デグレードの可能性もあります。 ttp://lists.sourceforge.jp/mailman/archives/tomoyo-dev/2008-April/000791.html もし可能ならもう少し具体的な情報をお知らせください。 862 名前：デムパゆんゆん [2008/04/21(月) 00:37:12 ID:/9Akzjvg] >常用環境で試して　どうなろうと僕はしりましぇん あ、本番環境とかそういうつもりじゃないです。 普段、家で会社でいつも使うという意味の常用です。 網走刑務所のお勤め終わりました。　やっとプロバイダ全規制解除 863 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/21(月) 07:46:38 ID:6Gdqvlo3] >>862 デムパもどき？？？ (@ @; 864 名前：デムパゆんゆん mailto:sage [2008/04/21(月) 20:35:06 ID:HuS1sRX3] 10分でまた全規制になりました。 自分は網走でお勤めです。 SD今月号読みました。 神様芥川賞取れそうな文才全開 ｼｰｽﾞﾝ2もみたいｱﾙ。 もどきじゃねぇ本人だ。 ばぶぅ 865 名前：login:Penguin mailto:sage [2008/04/21(月) 21:10:53 ID:coMEImMD] boincで、wcgしてます。 initialize_domain /usr/bin/boinc_client をexception_policy.conf に入れて、 # ccs-setprofile 2 '<kernel> /usr/bin/boinc_client' たたいても、boinc_clientからforkされる wcg_hpf2_rosetta_5.20_i686-pc-linux-gnu とかは 無視されるんですね。 866 名前：865 mailto:sage [2008/04/21(月) 22:24:43 ID:ys16n8Hu] 失礼、2だった。 867 名前：860 mailto:sage [2008/04/21(月) 22:28:37 ID:cnfwqPC3] >>861 ふむぅ…なんとお伝えしたらよいのやら（汗） 取り合えず書き環境どす。 ディス鳥：Vine4.2 コンパイル前uname -a：2.6.16-0vl76.33 #1 SMP Sun Apr 20 20:58:37 JST 2008 i686 i686 i386 GNU/Linux コンパイル後uname -a：2.6.16-0vl76.33-ccs-1.6.0 #1 SMP Sun Apr 20 20:58:37 JST 2008 i686 i686 i386 GNU/Linux #apt-get install kernel-source #cd /usr/src/linux-2.6.16 #wget osdn.dl.sourceforge.jp/tomoyo/30297/ccs-patch-1.6.0-20080401.tar.gz #tar zxvf ccs-patch-1.6.0-20080401.tar.gz #patch -sp1 < /patches/ccs-patch-2.6.16-0vl76.33.diff #cp /boot/config .config #make oldconfig（→ここでMAX_GRANT_LOGの部分を0） #make menuconfig（→ここでMAX_GRANT_LOGが0になっていることを確認） #make -s #make modules_install #cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.16-0vl76.33-ccs-1.6.0 #cp System.map System.map-2.6.16-0vl76.33-ccs-1.6.0 #mkinitrd /boot/initrd-2.6.16-0vl76.33-ccs-1.6.0.img 2.6.16-0vl76.33-ccs-1.6.0 カーネル再構築はここまで（後は適度にgrubを修正）。 868 名前：860 mailto:sage [2008/04/21(月) 22:30:36 ID:cnfwqPC3] 全文記載弾かれたので分けました。 後はccs-toolsをダウンロードしてmake -C ccstools/ all install。 #init_policy.sh --file-only-profile #echo "/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt" >> /etc/rc.d/rc.local #mkdir -p /var/log/tomoyo 取り合えず行った作業は上記まで。 その後リブートしたのですが/var/log/tomoyo/reject_log.txtには許可ログがべっとり。 /etc/ccs/profile.confに「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。 loadpolicy -pは実行済み。 その後に再起動かけてもべっとり。 例） #2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0 <kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi use_profile 0 取り合えず現状こんな感じです。 カーネル再構築自体は成功しています。 拒否モードにするときちんと動作を拒否してくれています。 869 名前：860 mailto:sage [2008/04/21(月) 22:47:56 ID:cnfwqPC3] ちなみにprofile.confは… # cat profile.conf 0-COMMENT=-----Disabled Mode----- 0-MAC_FOR_FILE=disabled 0-TOMOYO_VERBOSE=disabled 0-MAX_GRANT_LOG=0 0-RESTRICT_MOUNT=enabled 0-DENY_CONCEAL_MOUNT=enabled 0-RESTRICT_CHROOT=enabled 1-COMMENT=-----Learning Mode----- 1-MAC_FOR_FILE=learning 1-TOMOYO_VERBOSE=disabled 1-MAX_GRANT_LOG=0 1-RESTRICT_MOUNT=enabled 1-DENY_CONCEAL_MOUNT=enabled 1-RESTRICT_CHROOT=enabled 2-COMMENT=-----Permissive Mode----- 2-MAC_FOR_FILE=permissive 2-TOMOYO_VERBOSE=enabled 2-MAX_GRANT_LOG=0 2-RESTRICT_MOUNT=enabled 2-DENY_CONCEAL_MOUNT=enabled 2-RESTRICT_CHROOT=enabled 3-COMMENT=-----Enforcing Mode----- 3-MAC_FOR_FILE=enforcing 3-TOMOYO_VERBOSE=enabled 3-MAX_GRANT_LOG=0 3-RESTRICT_MOUNT=enabled 3-DENY_CONCEAL_MOUNT=enabled 3-RESTRICT_CHROOT=enabled 870 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/21(月) 23:12:29 ID:6Gdqvlo3] >>865 ># ccs-setprofile 2 '<kernel> /usr/bin/boinc_client' # ccs-setprofile -r 2 '<kernel> /usr/bin/boinc_client' です。 参考 ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-2 871 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/21(月) 23:19:22 ID:6Gdqvlo3] >>860 開発メンバーに報告しましたのでしばらくお待ちください。(_ _) 872 名前：デムパゆんゆん mailto:sage [2008/04/22(火) 00:14:46 ID:XsdpoNQq] 24しますた 873 名前：login:Penguin mailto:sage [2008/04/22(火) 00:35:51 ID:nBaXrVo3] >>870 > >>865 > ># ccs-setprofile 2 '<kernel> /usr/bin/boinc_client' > # ccs-setprofile -r 2 '<kernel> /usr/bin/boinc_client' です。 > > 参考 > ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-2 なるほど、失礼致しました。ありがとうございます。 874 名前：login:Penguin [2008/04/22(火) 06:32:31 ID:BZrfz1S8] >>868 ＞/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt ccs-auditd に渡す２つのパス名の内、 １つめが許可ログ（ポリシーに存在しているアクセス要求のログ）の保存場所、 ２つめが拒否ログ（ポリシーに存在していないアクセス要求のログ）の保存場所です。 ですので、拒否ログ（ /var/log/tomoyo/reject_log.txt ）を出力させたくない場合には ＞「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。 ではなく、 「プロファイル番号-MAX_REJECT_LOG=0」を指定ください。 ＞#2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0 ＞<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi ＞use_profile 0 これは正常なログです。 /bin/bash から /bin/vi が実行されたことにより、 <kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi というドメインが 新規作成され、プロファイル番号として 0 が割り当てられたというログです。 1.6.0 では、学習モードを使わなくても拒否ログから学習モードと同等の結果を 得られるようにするために、ドメインが新規作成された時に上記のようなログを 拒否ログとして出力するようになりました。 875 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/22(火) 06:37:19 ID:WnxtELB+] >>874 >ドメインが新規作成された時に上記のようなログを 拒否ログとして出力するようになりました。 を抑制することはできないのですか？ 876 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/22(火) 07:55:46 ID:WnxtELB+] >>875 1.6のポリシーリファレンスを見る限り現状は対応していないのかしらん ttp://tomoyo.sourceforge.jp/ja/1.6.x/policy-reference.html 877 名前：login:Penguin mailto:sage [2008/04/22(火) 13:36:16 ID:DRUyJgxS] Macに対応してみても良いのでは。 878 名前：860 mailto:sage [2008/04/22(火) 21:25:08 ID:e/LuciY4] >>874 ありゃ…吐き出し方が変わっていたとですか。 学習ログと許可ログをゴッチャにしてたとです。 取り合えず現状この状態が「正常」ということで認識しておきますです。 個人的には>>875も言っておりますが… 学習吐き出し 許可吐き出し 拒否吐き出し を単体、もしくは組み合わせて吐き出せるような仕様が欲しいのです。 879 名前：デムパゆんゆん [2008/04/23(水) 00:17:07 ID:iieJvJWr] 解除復活アル ぐあしあぐあしあ 880 名前：デムパゆんゆん [2008/04/23(水) 00:22:38 ID:iieJvJWr] >>878 網走は寒かったでつ ログ吐き出し　なんか整形ツールあれば良いでつね そうだ　snmpでつないでhinemosで管理　弊社のトータルソルーションでありまつwww ログがたまるの嫌ならcronとか回して タ〜で固めるのだめﾆﾀﾞか？（＠＠） 881 名前：login:Penguin mailto:sage [2008/04/23(水) 02:38:18 ID:AaDa6A91] >>880 ログが溜まるのはよかとですたい。 むしろ「お兄ちゃん見て見て！ログが少し大きくなったの」的な妄想ができますたい。 だがお兄ちゃん脳の記憶領域が残り3byteしか空き容量が無いので新しい仕様を覚えることに一苦労なのです。 欲望だけが沸き続けるのは人間の性。 882 名前：デムパゆんゆん [2008/04/23(水) 10:17:26 ID:iieJvJWr] >>881 お　おにぃちゃん　おなかがくるしいよぉ なにがはいってるのぉ ＤＳ大人の脳トレーニングで 脳内再起動 >>856 ＞雇ってないので大丈夫です。 送った履歴書がＵターンしてきたようでつ　ふへ 883 名前：login:Penguin mailto:sage [2008/04/27(日) 22:17:12 ID:lI0nWCFt] 質問です。 allow_unlink, allow_createが書かれているprofileで、 allow_renameをポリシーエディターで追加しようとしても、追加されません。 これって、相反するものなのでしょうか？ 884 名前：LiveCDの中の人 mailto:sage [2008/04/27(日) 22:59:05 ID:3F2gMlCf] >>883 特に相反とかのチェックはしていませんね。 allow_renameのあとスペースを空けて、 2つのパス名が絶対パスで指定されているかをご確認くださいな。 もしダメならどんなエントリを追加しようとしているか、 ここに書いてもらうのが手っ取り早いかと。 885 名前：login:Penguin mailto:sage [2008/04/27(日) 23:26:16 ID:lI0nWCFt] >>884 > >>883 > 特に相反とかのチェックはしていませんね。 > allow_renameのあとスペースを空けて、 > 2つのパス名が絶対パスで指定されているかをご確認くださいな。 > > もしダメならどんなエントリを追加しようとしているか、 > ここに書いてもらうのが手っ取り早いかと。 あ、二つパスを指定するんですかｗ すみません。うまくいきました。 886 名前：login:Penguin mailto:sage [2008/04/27(日) 23:27:52 ID:lI0nWCFt] 話は違うんですが、 deny_read とか拒否ルールは書けたりは出来ないんでしょうか。。 887 名前：デムパゆんゆん [2008/04/28(月) 11:30:29 ID:hSxn4XiQ] >>886 ファイアウォールと一緒で 一個ずつ許可していくんだろ 888 名前：LiveCDの中の人 mailto:sage [2008/04/28(月) 23:50:31 ID:eFmipwMS] >>886 ポリシーはホワイトリストで、 「上から見ていってあればOK、最後まで見てもなければNG」 というシンプル設計。そのため、「拒否ルール」の記法はありません。ただし、 ttp://tomoyo.sourceforge.jp/ja/1.6.x/policy-reference.html#wildcard_expression_rules の表の一番下の行、「\-」演算子を駆使すればそれらしきことはできます。 めんどいけどね。 889 名前：login:Penguin mailto:sage [2008/04/29(火) 11:33:17 ID:SvP2L5b/] >>888 AppArmorは管理ガイドを見る限り、Denyルールを持っているようですね。 TOMOYOはやる気ないのかな。。 890 名前：login:Penguin mailto:sage [2008/04/29(火) 14:07:10 ID:SvP2L5b/] \- ですか。ありがとうございます。 891 名前：login:Penguin mailto:sage [2008/04/29(火) 15:49:15 ID:SvP2L5b/] しかし、/home/*/Docsをfirefoxで見れなくするために、 以下のように書いたのですが、うまくいきません。 --(exception_policy.conf)--------------------------- initialize_domain /usr/lib/iceweasel/firefox-bin # snipped.. path_group HOME-DIR /home/taku/\*\-Docs path_group HOME-DIR /home/taku/\*\-Docs/\* path_group HOME-DIR /home/taku/\*\-Docs/\*/\* path_group HOME-DIR /home/taku/\*\-Docs/\*/\*/\* path_group HOME-DIR /home/taku/\*\-Docs/\*/\*/\*/\* ---------------------------------------------------- --(domain_policy.conf)------------------------------ <kernel> /usr/lib/iceweasel/firefox-bin use_profile 3 # snipped 6 HOME-DIR ---------------------------------------------------- 892 名前：login:Penguin mailto:sage [2008/04/29(火) 15:51:18 ID:SvP2L5b/] すみません。 (誤) 6 HOME-DIR (正) allow_read/write @HOME-DIR 893 名前：デムパゆんゆん [2008/04/29(火) 17:35:58 ID:cnJ/AbCs] そりゃうまくいかんだろ exception_policy.confから そのパスグループ削除汁 で、合ってたような気が駿河 894 名前：login:Penguin mailto:sage [2008/04/29(火) 19:26:08 ID:SvP2L5b/] えーと、 ~/Docsだけをfirefoxからアクセスさせたくないんですが、 その場合のパスグループはどう書けばいいんでしょうか。 895 名前：login:Penguin [2008/04/29(火) 20:35:14 ID:7I0kaDbH] ＞~/Docsだけをfirefoxからアクセスさせたくないんですが、 普通は ~/.ssh とかにアクセスさせたくないという理由で 例えば ~/firefox-data 以下の読み書きだけを許可するといった 指定をすると思うのですが・・・。 ＞その場合のパスグループはどう書けばいいんでしょうか。 path_group の書き方は 891 で合っていると思います。 ＞use_profile 3 grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して enforcing と表示されることを確認してください。 exception_policy.conf を編集後には loadpolicy e を、 domain_policy.conf を編集後には loadpolicy d を 実行していますよね？（しないと反映されません。） あと確認するとしたら、本当に firefox が <kernel> /usr/lib/iceweasel/firefox-bin ドメインに属しているかどうかですね。 firefox に学習モード（ use_profile 1 ）を指定して firefox から ~/Docs 以下のファイルにアクセスしてみてください。 もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin ドメインで動作しているのであれば、そのドメインに firefox からアクセスしたファイルのパス名が追加されているはずです。 896 名前：login:Penguin mailto:sage [2008/04/29(火) 23:10:08 ID:SvP2L5b/] お世話になります。 >>895 > 普通は ~/.ssh とかにアクセスさせたくないという理由で > 例えば ~/firefox-data 以下の読み書きだけを許可するといった > 指定をすると思うのですが・・・。 おっしゃる通りです。orz > grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して > enforcing と表示されることを確認してください。 はい、enfocingと表示されています。 > exception_policy.conf を編集後には loadpolicy e を、 > domain_policy.conf を編集後には loadpolicy d を > 実行していますよね？（しないと反映されません。） ccs-editpolicyで編集しているので、即反映だと思われます。 > あと確認するとしたら、本当に firefox が > <kernel> /usr/lib/iceweasel/firefox-bin > ドメインに属しているかどうかですね。 > firefox に学習モード（ use_profile 1 ）を指定して > firefox から ~/Docs 以下のファイルにアクセスしてみてください。 > もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin > ドメインで動作しているのであれば、そのドメインに > firefox からアクセスしたファイルのパス名が追加されているはずです。 はい、確かに学習モードだと /home/taku/Docs/hoge とかがエントリーされます。 897 名前：891 mailto:sage [2008/04/30(水) 01:14:35 ID:ylW0WDVj] >>896 ちなみに、Debian lenny & TOMOYO 1.6.0です。 898 名前：LiveCDの中の人 mailto:sage [2008/05/01(木) 00:18:18 ID:SPZt1ZlM] >>896 お聞きする限り正しいようですね。 1点気になる点があるので、「Firefoxからアクセスできてしまう」 というのがどういう状況か詳しく教えてもらえませんか？ TOMOYOの「ディレクトリの読み込み権限はチェックしてない」 という仕様から、 891さんが想定されている動作と異なっているかも知れません。 たとえば、Firefoxに /home/taku/Docs/hoge への読み込みアクセスを与えていなくても、Firefoxから file:///home/taku/Docs/ にアクセスすると、ディレクトリインデックスが表示されて、 hogeというファイルがあることまではわかります （Docsというディレクトリの読み込みはチェックされないので）。 ディレクトリインデックスでhogeへのリンクをクリックすると 403 Forbiddenになるわけです。 899 名前：896 mailto:sage [2008/05/01(木) 23:31:43 ID:ul/uALMw] >>898 ご回答ありがとうございます。 確かに、dir listingは見れても、ファイル(例えば*.jpg等)は引っ掛かって見ることが 出来ませんでした。ありがとうございます。 900 名前：login:Penguin mailto:sage [2008/05/08(木) 23:17:21 ID:aArXWV97] lkml.orgおかしくないかい？つう話は 数日前にも見た気がします。 901 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/10(土) 07:56:47 ID:378OV0Qj] SDさんの連載、「TOMOYO Linuxの世界」のWiki化について、tomoyo-devの クスノさんが残っていた分も転載くださいました。感謝・・・。 ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux 902 名前： [―{}@{}@{}-] login:Penguin mailto:sage [2008/05/10(土) 09:44:51 ID:0BQy8+KX] fedora8使ってるんだけど、TOMOYO用のカーネル入れたら、 yum updateとかでカーネルのアップデートができなくならない？ 903 名前：login:Penguin [2008/05/10(土) 11:12:40 ID:YtCqEUQp] >>902 kernel-2.6.24.5-85_tomoyo_1.6.0.fc8 の方が kernel-2.6.24.5-85.fc8 よりも新しいバージョンと判断されてしまって、 ディストリビュータのカーネルはインストールされなくなるかもしれません。 ですが、ディストリビュータのカーネルがアップデートされれば kernel-2.6.24.5-85_tomoyo_1.6.0.fc8 の方が古いバージョンと判断されて ディストリビュータのカーネルの方がインストールされると思います。 904 名前：login:Penguin mailto:sage [2008/05/13(火) 12:10:45 ID:xL7S38Yx] VMwareのCentOS5にインストールしてみたけど、 vmware-config-tools.plで/usr/src/linux/includeが指定されてしまうよ。 前は勝手に/lib/modules/2.6.18-53.1.19.el5/build/includeやら /usr/src/kernels/2.6.18-53.1.19.el5-i686が指定されてたのに。 どうすりゃいいんだろう。 905 名前：login:Penguin [2008/05/15(木) 21:54:28 ID:kwv10gej] >> 904 /usr/src/linux/include が指定されてしまうのは /lib/modules/`uname -r`/build が存在しないか デッドリンクになっているからでしょう。 インストールしたのは 2.6.18-53.1.19.el5 ？ それとも 2.6.18-53.1.19.el5_tomoyo_1.6.1 ？ 前者なら yum install kernel-devel を実行すれば /lib/modules/2.6.18-53.1.19.el5/build が /usr/src/kernels/2.6.18-53.1.19.el5-i686 等を 指すようになるでしょう。後者なら kernel-devel-2.6.18-53.1.19.el5_tomoyo_1.6.1.i686.rpm をダウンロードしてインストールしてください。 906 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/16(金) 09:22:36 ID:mX7VQmYj] 自宅で使用しているPCのディスクが壊れてしまい、しばらくご無沙汰していました。 >>716 5/31から「チョコレートの国の侍」というタイトルで、ThinkITさんで 連載いただくことになりました。 907 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/16(金) 09:26:16 ID:mX7VQmYj] 昨夜、TOMOYOのlxrを更新しますた。 ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source （最新は1.6.1ですが、その前の1.5.4も当面残しておきます） 908 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/16(金) 09:29:15 ID:mX7VQmYj] 5/10にTLUGで、TOMOYOの紹介をしてきましたが、（このあたりのイベント 予定などの情報ははてなのページで確認ください）、Gentooのパッケージに 追加を提案いただけることになりました。TLUGは、外国人の方がほとんど ですが、とても良い雰囲気です。 909 名前：login:Penguin [2008/05/21(水) 18:12:59 ID:WY0F4fBX] ここを会議室にしてみたらと提案して以来盛況になっているこの現実 このスレはWikiにも保存されますか？ 910 名前：login:Penguin [2008/05/21(水) 20:57:22 ID:WY0F4fBX] メイプルシロップ事件やら鞄事件やらはTOMOYOとは関係なしに 別立てでおもしろおかしく書いてほしいｗ 911 名前：デムパゆんゆん [2008/05/22(木) 12:51:07 ID:wP9dv8BL] おはようございまつ eclipseにぶちこむプラグイン tomoyo-gui solaris版のeclipseにぶちこんだが微妙にエラーがでる srcからエアロバキバキしたい jp.sourceforge.tomoyo.GUI_1.0.1.v20070713-1200.src.zipに build.xmlとかない　プロジェクトとしてインポートしたいアル。キボンヌ それとも自動生成アルか？ 好了！ 912 名前：デムパゆんゆん [2008/05/24(土) 01:03:54 ID:N3YMe7n2] lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-May/000437.html 痴話喧嘩ktkr　なんだよｗｗｗｗ ステファン：と　と　ともよﾀﾝ！　どうしてコード変えたの？　ｳﾘの事嫌いﾆﾀﾞか！　謝罪と賠償（ｒｙ ともよﾀﾝ：ん　そ　そんなつもりぢゃ　ないでつ。　あ。。。 Ｓ：なんで　なんでなの　ともよﾀﾝのバカ！　サンノゼであんなに愛し合ったのに！　アレはなんだったの！ Ｔ：あぅあぅ Ｓ：もぅ嫌い！ Ｔ：ぐあしあぐあしあ　（＠_＠） こうですね　わかります。 つかＬＫＭＬ詠んでないけど　なんで変えたんだよｗ ステファン先生ご立腹。 ステファンの愛　木お見て森進一 ＭＭパッチ神のお告げで御開帳 ブルハーみたいに 君ちょっと逝ってくれないか　君ちょっとすてごまになってくれないか いざこざにまきこまれて　泣いてくれないか ＬＳＭも似たようなもんだ　ﾊｧﾊｧするには十二分

---

---

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef