TOMOYO Linux

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/09 18:21 / Filesize : 339 KB / Number-of Response : 913
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

TOMOYO Linux

1 名前：login:Penguin [2006/07/07(金) 16:28:14 ID:+/HOu7cX]: 向こうはスレッド名がよくないのとＣＣさくらヲタしか集まってこないのでフォークした。
重複ではないと思っている。

TOMOYO Linux プロジェクト
tomoyo.sourceforge.jp/ja/doc/index.html
576 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 07:00:07 ID:T42GwYyM]: 認証の意義や価値を否定はしない。
だけど肩書きや「お墨付き」を当てにする生き方はむなしい。
現にそうしたものを信用できないというできごとが増えている。
PacSecの講演タイトルは、
A Practical Method to Understand and Protect Your Own Linux Box
「自分の管理するLinux Boxなら、ちゃんと自分で把握して守れよ」
「そうでなくて誰が守る？おまえの箱だろ？」
そういう意味を込めている。"Practical"は、「実際に使える」ということだ。
タイトルを考えるのに約1ヶ月かけた。
577 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 07:06:38 ID:T42GwYyM]: "Understand and Protect"というのは、「内容を理解（把握）できずには
守れない」からこうなっている。reference policyでも良いけれど、
それなら、ちゃんと中身を読むべきだ。
資料ではTOMOYOをDIYアプローチと書いた。「自分で理解して守る」、
そう考える人にとってTOMOYOは最高のツールであり武器だ。そう信じている。

自分の考えやTOMOYOを押しつけるつもりはさらさらない。
良いと思ったら使えば良いと思っている。ひとりごとだよ。
578 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 07:26:18 ID:T42GwYyM]: ttp://d.hatena.ne.jp/sec-momiji/20071208
579 名前：login:Penguin [2007/11/22(木) 12:30:19 ID:IG8xLyiw]: セキュアＯＳよりもセキュア環境が欲しいかな
580 名前：login:Penguin mailto:sage [2007/11/22(木) 15:56:23 ID:7hbiBwAR]: 「自分が何をしたいのか」と「相手に何をさせたくないのか」をある程度明確にできないと結局どのセキュアOS使おうが穴だらけになる可能性は高いよね。
TOMOYO LinuxにしてもSE Linuxにしてもその他のセキュアOSにしても結局行おうとしていることに対しての手段でしかないんだし。
581 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 23:01:24 ID:T42GwYyM]: >>580
本当にそうですね。
「セキュアOS」「セキュリティ」、そう呼ぶと難しいですが、
もともとやりたいことは、単純で誰にでもわかる、誰にも必要なことなわけです。
以前も書いたかもしれませんが、私は最近あまり「セキュリティ」「セキュアOS」という
言葉を使いたくないと思っています。
582 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 23:07:41 ID:T42GwYyM]: SELinuxのmlで大変興味深いスレッドを発見しました。
「SELinux的世界」を体験できます。超お勧めです。先頭記事はこちら。
ttp://www.selinux.gr.jp/selinux-users-ml/200711.month/2058.html
583 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 23:11:39 ID:T42GwYyM]: この「SELinux的世界」を楽しいと思う人はきっとSELinuxに向いています。
私はパズルとしては面白いと思いますが、仕事で使う勇気はちょっとありません。
reference policyが落ち着いたら、状況は変わると思いますけれども。
584 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/22(木) 23:35:59 ID:T42GwYyM]: このスレッドの面白さを理解するためのヒントは、SELinuxとTOMOYO Linuxに
おけるドメインの考え方の違いにあります。参考資料としては
ttp://lc.linux.or.jp/lc2005/slide/CP-09s.pdf
585 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/23(金) 00:29:54 ID:ikI5IeJ7]: 2.1のネットワーク関係でバグが見つかったので、少し前に2.1.1をリリースしました。
もし使っている人があれば更新ください。
586 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/23(金) 00:36:29 ID:ikI5IeJ7]: ネットワークセキュリティExpert 7の発売は12/8のようです。
TOMOYO Linuxプロジェクトで9ページの記事を書きました。
内容は現在挑戦中のメインライン化で、プロジェクトメンバー3人で
分担して書いていますが、結構面白いものになりました。

日経LinuxでもCELFの方がメインライン化について書かれたようで、
そちらの内容も楽しみにしています。
587 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/23(金) 00:51:01 ID:ikI5IeJ7]: >>584
ちょっとだけヒント。
ttp://takabsd.jp/d/?date=20060906
あとで簡単に説明します。でふぁ
588 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 09:58:57 ID:jgoLKUrq]: PacSecの準備を始めたのでちょっと忙しくなりました。しばらくレスポンスが
悪くなるかもしれません。解説します。

SELinuxでは、アクセスの主体（サブジェクト）とアクセスの対象（オブジェクト）の
ラベルにより、アクセスを許可して良いかどうか判断しますが、
サブジェクトもオブジェクトもラベルは「ひとつ」しか付与できません。
/bin/shでもApacheでも、特定の用途だけについてポリシーを書くことは
可能ですが、Linuxではさまざまなものが互いに関わりながら動いていますから
それらをうまく「調停」するようなラベル付けを工夫しなければなりません。
「調停」のわかりやすい例は、/homeのラベルとApacheのラベルで、それが
あっていないとApacheでユーザのホーム配下が開けなくなります（実際、
よくそうしたクレームがあがっていました）

/bin/shには、（最新の状況は確認していませんが）shell_exec_tというラベルがつけられていて、
それに基づいて他のラベルやドメイン遷移は定義（設計）されていますから、
勝手に/bin/shのラベル定義を他のラベルに変更するとたちまち色々なものが動かなくなります。
そのことが理解できると、「reference policyであってもtargetedであっても
提供されているポリシーの内容を理解しないと、本当の意味でのカスタマイズは
できない」という意味がわかると思います。（続く）
589 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 10:05:09 ID:jgoLKUrq]: 簡単に言えば、「普通の/bin/shとApacheでPHPから実行されるsystem()で
起こされる/bin/shを許可したい」のですが、SELinuxの仕様というか制約の中で
それを実現しようとすると、スレッドにあるように普通の方法ではできないと
いうことです。つまり、「実行して良い場合」と「実行させてはいけない場合」の
記述が容易でないのです。

この同じことはTOMOYO Linuxであれば一瞬でできます。
学習させて、そのドメインを選択し許可すれば良いのです。
TOMOYOではもともとそうした状況に沿ってドメインを自動的に定義（分離）
しているから、ドメインの定義やドメイン名の付与すら必要でなく、
ただ、その場合（ドメイン）を選んでモードを変えてやれば良いだけです。

この例に限らず、TOMOYO Linuxのポリシーは「人間のシステム管理者に
とって、自然でわかりやすい記述」になっています。だから使いやすいのです。
より詳しく知りたい方は下記論文も参考にしてください。
（論文を読むまでもないかもしれませんが）
ttp://lc.linux.or.jp/paper/lc2005/CP-09.pdf
590 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 10:08:48 ID:jgoLKUrq]: このスレッドでもうひとつ参考にして欲しいのは、
「SELinuxを運用する」作業の実際のイメージです。
Fujiwaraさん達が連発している_tが「ラベル」です。ラベル方式の
MACを使うということはこのようにラベルで考えることが必要です。
・ラベル定義を設計する
・ラベル定義の設計に基づきアクセスポリシーを設計する
となります。ただ、前述のようにラベル定義は自由に行うわけには
いかず制約があります。reference policyでは、カスタマイズする部分を
ユーザがモジュールとして作りやすいようになっていますが、
ラベルの調停の必要性については本質的に変わっていません。
591 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 10:12:21 ID:jgoLKUrq]: SD連載ですが、全１２回をひとつのページにすると巨大すぎるので分割することに
しました。現時点で第1回はほぼ完了、第2回は書きかけ、第3回は本文はほぼ完、です。
第3回についてはtomoyo-devのクスノさんにご協力いただいています。

インデックスは、
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux
はてなのキーワードの中からも飛べるようにしておきました
（できるだけ多くの方に読んでいただけるように）
ttp://d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099

技評さんには「発売後３ヶ月おきます」と約束したので、9月号まで
できるだけ早く転載したいと思います。もし、作業を手伝っていただける
方があればご連絡ください。
592 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 10:18:03 ID:jgoLKUrq]: 今朝、PacSecのアブストラクトが掲載されましたので、貼っておきます。
英語版から（アブストラクトも講演資料も英語と日本語作成しないといけないので
大変です）

TOMOYO Linux: A Practical Method to Understand and Protect Your Own Linux Box

Abstract

TOMOYO Linux is an implementation of "manageable and understandable"
mandatory access control for Linux 2.4/2.6 kernels. It was developed
by NTT DATA CORPORATION, Japan and it has been available under
the GPL license since Nov. 2005. The project is now trying to put
their code to the mainline Linux kernel.

With its unique feature of "automatic policy generation", TOMOYO
Linux can be used to analyze the system behavior in depth as well
as protecting from malicious attacks. The presentation will focus
on how TOMOYO Linux compares to other secure-Linux projects in order
to give audience appropriate information to choose suitable one.
The on-line version of "secure-Linux" comparison table maintained
by the speaker can be found at here.

This presentation will include a brief demonstrations of TOMOYO Linux.
593 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 10:19:17 ID:jgoLKUrq]: TOMOYO Linux: あなたのLinuxサーバを理解し守るための実践的な手法

Abstract

TOMOYO LinuxはLinux kernel 2.4/2.6のための「使いこなせて安全」な
強制アクセス制御の実装で、株式会社NTTデータにより開発され2005年
11月からGPLライセンスのオープンソースとして公開されています。
プロジェクトでは現在メインライン活動に取り組んでいます。

ttp://tomoyo.sourceforge.jp/

TOMOYO Linuxはそのユニークなポリシー自動学習機能により、
クラッキング対策としてだけでなく、システムの解析に用いることも
可能です。講演では、参加者の方々が自分にあったセキュアLinuxを
選ぶことができるようになるために必要な比較情報が提供されます。
比較情報は
ttp://tomoyo.sourceforge.jp/wiki-e/?WhatIs#comparison
でその最新版を参照することができます。講演では、TOMOYO Linuxに
関する短いデモが含まれる予定です。

資料は現在作成中ですが、今回のSELinuxのスレッドも盛り込みたいと
思っています。
594 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/24(土) 15:58:10 ID:jgoLKUrq]: ネットワークセキュリティExpert 7の発売日は12月8日ではなくて10日でした。
失礼しました。
595 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/25(日) 07:39:46 ID:5c7oH0Sf]: Ubuntu Japanese Teamの方から、TOMOYOのapt lineを教えてもらいました。
Experimental
ttp://archive.ubuntulinux.jp/ubuntu-ja/gutsy-experimental/
に追加されています。/etc/apt/sources.lstに下記を追加すれば
利用できるようになります。

deb archive.ubuntulinux.jp/ubuntu-ja gutsy-experimental/
deb-src archive.ubuntulinux.jp/ubuntu-ja gutsy-experimental/

thanks >Ubuntu Japanese Team :)
596 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/25(日) 07:55:11 ID:5c7oH0Sf]: 日本語ローカライズドDesktop CD（ISOイメージ）のダウンロード自体はこちら。
ttp://www.ubuntulinux.jp/products/JA-Localized/download

Ubuntu 7.10でのTOMOYO Linux利用は、
・Ubuntu 7.10（標準）でexperimentalのパッケージを追加する
・Ubuntu 7.10で、自分でカーネルをビルドする
・TOMOYOプロジェクトのLiveCDから「インストール」する
　（勿論インストールしないでLiveCDとしての利用も可）
の3つの方法が可能になりました。

今さらですが、7.10でのTOMOYOのパッケージ(deb)がないことに気がつきました。
597 名前：login:Penguin mailto:sage [2007/11/25(日) 16:44:23 ID:325QUF8p]: Gentoo に TOMOYO 2.1.1 をいれてみた。
まだ、よく使ってないけどいくつか思ったことを。
- ccs-tools に LICENCE も INSTALL もなくて不便 & README がなんかいまいち。
- パッチがカーネルのどのバージョン用のものかがわからなかった。
- ccs-tools と ccs-patch で少し混乱。
- コンソールで作業したから、英語Wiki を見てたんだけど、内容が少し古いことを書いてほしかった。
.init がねぇ…とずっと探してしまった…。
- で、適当にccs-init を動かしちゃったんだけど… /etc/ccs は消してもOKなのかなぁ?

今度 ebuild でも作ってみようかな…。
598 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/25(日) 19:59:55 ID:5c7oH0Sf]: >>597
情報ありがとうございます。開発メンバーに伝えておきます。
/etc/ccsは消してもOKです。
599 名前：login:Penguin mailto:sage [2007/11/26(月) 02:57:52 ID:fkMxnajX]: >>598
/etc/ccs 消しました。Wiki も情報が新旧混ざってますねぇ。

ところでせんせー質問いいですか!
apache の動作を制約してみようかと、editpolicy で apache の学習結果とにらめっこしてます。
- allow_create /var/tmp/etilqs_<ランダムな文字列> というエントリがたくさんあるんですが、
まとめるには、A して allow_create /var/tmp/etilqs_\* でOKですか?
- 基本全部通すけれど、特定のIPアドレスは許可しないというのはできますか?
- udev と小狼君は協調できますか?
600 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/26(月) 07:15:37 ID:x1nnOH3A]: >>599
SDの連載のWiki掲載でも情報整理の必要性を認識しました。wikiについても
古い内容が更新されていないところがあるので、すみませんが当面webのほうで
確認しながら作業ください。

アクセス追加はそれで良いですが、file_patternとしてまとめて名前を
つけることもできます。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/policy-reference.html
また、patternizeというツールもご利用ください。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2006-November/000140.html

「基本全部通す」は、TOMOYOでは指定できませんが、近い指定は可能かも
しれません。あとで開発メンバーに聞いてみます。
udevと小狼は同時に使えるはずです。
601 名前：login:Penguin mailto:sage [2007/11/26(月) 12:17:11 ID:fkMxnajX]: patternize 便利ですね～。editpolicy の (隠し機能?の)'o' もかなり使えますな。
patternize の使用法は d.hatena.ne.jp/naothy/20070809 がわかりやすかったです。
/proc/ccs がなくて /sys/kernel/security/tomoyo を探しだすのに手間どりましたがw

またまた質問でごめんなさい。
aggregator の第二引数は実際には存在しないパス(とかフルパス形式をとらないもの)でもOK?
例えば、
aggregator /bin/grep basic-shellscript-progs
aggregator /bin/sed basic-shellscript-progs
…
keep_domain basic-shellscript-progs from /home/yukiusagi/yue.sh
keep_domain basic-shellscript-progs from /home/sakura/kero.sh
…
のようにしてお手軽にシェルスクリプトがいじれるファイル群を制御したい。
それとも、/virtual/shellscript/basic みたいにしたほうがいいのかな?なんとなく。

# ','区切りで複数指定とか補完を使えるといいなぁ。ESCでキャンセルとか…。
# 追加成功/エラーメッセージも…
602 名前：login:Penguin mailto:sage [2007/11/26(月) 12:35:40 ID:tBfVfAfJ]: >>543
TOMOYOのことをもっと勉強してみたくなったのですが、資料があまりなく先日SDのバックナンバーを全部購入しました。
でも後悔はないんですよ、TOMOYOに貢献できるのはこれくらいしかないですから。
自動学習の先は、奥が深いです。
603 名前：login:Penguin mailto:sage [2007/11/26(月) 19:11:55 ID:/yb/58Km]: grant_logがうっとおしい時は echo 'MAX_GRANT_LOG=0'>/sys/kernel/security/tomoyo/profile でいいんかな。
'>' だと他の設定が消えそうなイメージがあってこわいな
604 名前：login:Penguin [2007/11/26(月) 22:27:26 ID:S3PFnDKS]: >>599
> まとめるには、A して allow_create /var/tmp/etilqs_\* でOKですか?
はい、それでもＯＫです。
もし \* の部分が６文字でしたら /var/tmp/etilqs_\?\?\?\?\?\? とした方が厳密になります。
605 名前：login:Penguin [2007/11/26(月) 22:28:40 ID:S3PFnDKS]: >>600

>「基本全部通す」は、TOMOYOでは指定できませんが、近い指定は可能かもしれません。
ホワイトリスト形式なので除外したい範囲を除いて指定してください。
例えば 127.0.0.0-127.255.255.255 を除外したければ、例外ポリシーで

address_group non-local 0.0.0.0-126.255.255.255
address_group non-local 128.0.0.0-255.255.255.255

のようにして、ドメインポリシーの方では

allow_network TCP accept @non-local 1024-65535

のように指定します。

> udevと小狼は同時に使えるはずです。
同時に使おうとすると udev が syaoran の上に tmpfs を被せてしまいますので、
（桜ちゃんのマウント制限機能である）DENY_CONCEAL_MOUNT=3 を併用する必要があります。
606 名前：login:Penguin [2007/11/26(月) 22:29:28 ID:S3PFnDKS]: >>601
> aggregator の第二引数は実際には存在しないパス(とかフルパス形式をとらないもの)でもOK?
ＯＫです。でも、パス名であることを示すために / で始まる名前である必要があります。
/./ とか // とかで始めれば実際に存在するパス名と衝突しないので良いかと思います。
607 名前：login:Penguin [2007/11/26(月) 22:30:14 ID:S3PFnDKS]: >>603
> grant_logがうっとおしい時は echo 'MAX_GRANT_LOG=0'>/sys/kernel/security/tomoyo/profile でいいんかな。
setlevel プロファイル番号-MAX_GRANT_LOG=0
です。
608 名前：login:Penguin mailto:sage [2007/11/27(火) 02:47:43 ID:GsZ7Df8e]: >>604-607
いっぱい答えてくれてありがとうございます。

もひとつ。再起動せずにmanager.conf の再読みこみはできないの?
609 名前：login:Penguin [2007/11/27(火) 06:37:20 ID:5fq2Zs/N]: >>608
loadpolicy m
または
cat /etc/ccs/manager.conf | loadpolicy -m
です。
610 名前：login:Penguin mailto:sage [2007/11/27(火) 08:36:51 ID:Fp2ivJlT]: 　　　　　, ' ,. '´　　　　　　　　　｀ヽ､ヽ
　　　　 ,.' ,.' 　　, 　　, 　　　　　　ヽﾞ､
　　　　　〃/, , 　 ,',' , 　　! |l 　　 | l 　 ', ﾞ., ',
　　　　ｌ| { { { 　 !l　! 　　lll |　　　! ! 　 }l　! !
　　　　 !{ | l l　_r┴‐'ｭ___|l! |＿__,','L.__ l|　| |
.　　　 | '.,| ,' ｦ, ''二.ヽ.|┐ 　 '""ﾞﾞﾞﾞﾞﾞ'''｀ｰ/ﾉ!
　　　　 |　 ,-',{l|{ （○） }| | 　　_........._ 　 ,','　ｌ
　　　 |　｛（ﾞ,_ﾐヽ二ノ | | 　　,;=＝=:.､ ,' ）｝ｌ
　　　 !　〉'´,rﾞ|r ‐‐┐| |､　　　　　　 ,' .ノ　!
　　　　|　/　/, ┴‐‐ｭ'ﾞ┘!‐‐; 　　　 ,'l´ 　　!
　　　!　|　'´　,.ィエ._|￣l|ｰ' 　　　ィ　|　　　 !
　　　 ,'　 ! 　 '" _,-r:ｲ r:､l_...､ - i ´　l　 |　　　 ',
　　　,'　 ,'ﾞ､　　r| ﾞ､'; ﾞ､ヽ､｀ヽ､./｀＼ |　 ! 　　　ﾞ､
　　 /　/ﾞ､ヽ､ { {　ヾ､｀'┘　ﾞi､　ﾉヾ､.', 　　　':,
.　 /　/,-|＼　｀ﾞヾヽ､　　　　ﾉ^{'"　　//ヽ､　　 ':,
611 名前：login:Penguin mailto:sage [2007/11/28(水) 23:31:11 ID:mC4LQURi]: 最近の selinux-users 見てると TOMOYO のほうが断然いいんじゃないかと思えてきた。
SELinux の雑誌連載読んだり、英語記事読んだりして頭を悩ませたあの苦労は一体なんだったんだ
612 名前：login:Penguin mailto:sage [2007/11/29(木) 00:20:45 ID:VA2JqiNB]: SELinuxはすぐにOFFが基本
613 名前：デムパゆんゆん [2007/11/29(木) 00:24:34 ID:4QZMaE+W]: SE Linuxでカーネルのセキュリチーのたたき台が出来たし
市場としてもこれからでね？
SE Linuxはpostgresqlのロール権限みたいなもんだと
SD２００４年１０月号読んでｦﾚｦﾚ学習した
日本版SOXとな　コンプライアンスとな
セキュリチー面倒だと　二律背反な現世でつ
と言う事で、ﾙｰﾀは気楽にふりBSDにしまつｗ
ごめんあさい　ごめんあさいｗｗｗ
614 名前：login:Penguin mailto:sage [2007/11/29(木) 09:07:31 ID:BI7MDb56]: NSA作頑丈にしてみた
615 名前：login:Penguin mailto:sage [2007/11/29(木) 10:01:42 ID:7JijcZKv]: >>612
SELinux の中の人達はこういうユーザの現状を認識してんのかな?
ユーザのこと考えずに理論だけでやってる気がするよ。
616 名前：login:Penguin mailto:sage [2007/11/29(木) 11:30:47 ID:GXCy7vaZ]: SELinuxは生半可なユーザは対象外
生半可な人達はこういうことを認識してんのかな?
617 名前：login:Penguin mailto:sage [2007/11/29(木) 11:38:10 ID:ZTQjLxRL]: ↑これはある意味正しいね
SELinuxはアメリカ政府、軍事を守るための技術
使いやすさを優先してたら生命の危機に関わる
618 名前：login:Penguin mailto:sage [2007/11/29(木) 15:06:57 ID:mGzdZ1hQ]: 正論すぎて泣いた
619 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/29(木) 18:25:04 ID:uxwmlobe]: PacSec終わりますた。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2007-November/000309.html
620 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/29(木) 18:29:03 ID:uxwmlobe]: >>610
「名前」で騒ぐ人は多いのですが、"TOMOYO"である意味がわかっている人は
少なくて、それをいつも残念に思っていました。
621 名前：login:Penguin mailto:sage [2007/12/01(土) 10:37:59 ID:EHGz1Vat]: >>620
TOMITAKE Linux
でもいいってことだよ
622 名前：login:Penguin mailto:sage [2007/12/01(土) 13:21:22 ID:alin/Y65]: 批判じゃないです。

古典文学(古典SFや古典ファンタジーを含む)からの引用は容易に受け入れられています。
なぜか。

近代文学からの引用というのは、敬遠されガチな気がします。
なぜか。
さらに近代のテレビ番組とジャンルが偏っていくと
その傾向が強くなるのではないでしょうか。

印象が強いものより無味無臭に近いものが無難という
ただの偏見だと思いますが、根強い擦り込みがあるのでしょうね。
それを気に止めないのは頼もしいと思います。

それがマーケティング的にプラスになるのかマイナスになるのか
ハラハラしつつ見守る無駄に小心者な部外者がわたしです。

便利なものに仕上ればいいなぁと思っているからこそ。
623 名前：login:Penguin mailto:sage [2007/12/01(土) 13:40:07 ID:EHGz1Vat]: 古典SFっていつごろを指すの？
ウェルズくらいまで？クラークとかは近代扱いでおｋ？
624 名前：login:Penguin mailto:sage [2007/12/01(土) 14:32:18 ID:alin/Y65]: >>621-623
~~~~~~~~~~~
↑こういうのを無視して技術的な話を続けてください。
相手の思うつぼなので。

ノシ
625 名前：login:Penguin mailto:sage [2007/12/01(土) 17:09:32 ID:EHGz1Vat]: >>624
振ってきたのは>>620だろ・・・
626 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/01(土) 18:04:23 ID:YI4Lfj9H]: スマソ
627 名前：デムパゆんゆん [2007/12/01(土) 23:35:19 ID:qc41z5Cq]: 怒られたw
628 名前：login:Penguin mailto:sage [2007/12/05(水) 11:15:17 ID:CA9y6kMb]: ほえー
629 名前：login:Penguin mailto:sage [2007/12/05(水) 20:54:48 ID:Nsoz8sT6]: 1.5.2が出ているね。
いつも通りVineで無事再構築終了。
自分の環境に今回の修正はあんまり影響なさそうだったけど気分的に常に最新版を（→これで他の事でもよく地雷踏んでるが）。

マイナーアップみたいなので左程問題が発生するとは思えないですが、取りあえずリリースされたらされたで公式ページにその情報は出して欲しいなぁ…と少々希望。
ところで…/usr/sbinにもccsツールが入るようになっているようですが何か事情があったのでしょうか。
630 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/05(水) 23:23:47 ID:/OndcmTF]: >>629
リリースについては、歴史的な経緯により以下の順で行っています。
1. tomoyo-users mlへの投稿 by 熊猫
2a. はてなキーワードへの追加 by 中野
2b. SourceForge.jpのプロジェクトニュースへの掲載 by 中野
3. LXRの更新 by 中野

もっとも早く、もっとも情報量が多いのが1で、2aや2bは1の内容を
それぞれの場に適したものに編集してから掲載しており、2bを先に書いて
2aではそれをポイントしていることがありますが、そのあたりは
やはり1の内容によりその都度判断しています。1を熊猫さんが行っているのは、
「より詳しい情報をロスなく早く提供する」という考え方と理解下さい。
ということでちょっと他のプロジェクトとは違うかもしれませんが、
ユーザや開発者の方には是非tomoyo-usersを購読いただきたいと思っています。

mlの過去のアーカイブを見ると1について、午前0時に行われていることが
わかりますが、これは社内リリース手続きの完了を待って行って
いたためです。ターボさんでの採用やディストロ対応を行ってくださる方の
ために上記に加えて事前予告を始めました。
631 名前：login:Penguin mailto:sage [2007/12/05(水) 23:39:23 ID:1q9gnTlu]: >>630
何故 devel へは告知しないの？
632 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/05(水) 23:40:32 ID:/OndcmTF]: >>631
プロジェクトの中では「develの人はusersは読んでいる」と思っているからです。
633 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/06(木) 00:03:46 ID:WbWUOs9u]: >>629
今回のリリースで、/usr/sbin/の下にシンボリックリンクを置くことにしたきっかけは
/usr/lib/ccs/の下に実行可能ファイルを置くのはtomoyo-devで
FHS (Filesystem Hierarchy Standard)として好ましくないという指摘が
あったことがきっかけです。

これから全く新規に提供するものであれば最初からFHS準拠にするのですが、
/usr/lib/ccsの下に置かれたファイルの場所を変更するとmanager.confや
既存のポリシーに影響してしまうため、このような形態を選択しました。
真の解決ではないので、どこかのタイミングで整理したいと思っています。

また、オンラインマニュアル作成の際にSELinuxとのコマンド名重複が
発見されたので/usr/sbin/配下ではccs-という接頭辞を追加しました。
634 名前：デムパゆんゆん [2007/12/08(土) 21:54:36 ID:sHGmKago]: init_policy.shもう一度やり直すとき、
/etc/ccs以下を削除すればいいﾆｶ？
ISP全面規制だ
ｱｲｺﾞｰ
635 名前：login:Penguin mailto:sage [2007/12/09(日) 00:07:15 ID:fw91IWD0]: /etc/ccsをバックアップ取って実行してみるニダ。
大丈夫なはずだが駄目だったら時空太閤HIODEHOSHIのせいにすれば良いニダ。

/etc/ccs/profile.confを弄っているなら…
xargs -0 setlevel < /etc/ccs/profile.conf
をしておいた方が良いニカ？
636 名前：login:Penguin [2007/12/09(日) 03:26:02 ID:awIRvzBx]: いつのまにこんなに盛況なスレに！

で、メインラインに入ったんですか？

忙しくて今年一杯は何もできない者より
637 名前：デムパゆんゆん [2007/12/09(日) 11:51:49 ID:mvxahewm]: >>635
時は遅し　ｱｲｺﾞ～
rm -rf /etc/ccs
ｗｗｗ

less init=policy.sh したら
最後の数行でディレクトリ掘ってたからとりあえずフォルダ削除したﾆﾀﾞよ
やっとfedora 8で動いた　あぁ感無量
selinuxと共存させているがインスコが面倒過ぎる以外は特になんもない
seeditでポリシをさわってﾆﾔﾆﾔ　tail /var/log/tomoyo/reject_log.txtみてﾆﾔﾆﾔ
FreeBSDでﾙｰﾀの話はどうなったか・・・。
7.0BETA3はインスコできなかった　BETA4で試す気力がない
そんなわけで、いぢけて犬に戻ってきたでがんす　ﾜﾝ
638 名前：login:Penguin mailto:sage [2007/12/10(月) 01:08:30 ID:XfaDvWiE]: >>637
FreeBSD7.xでルータ化ニカ？
素直に6.3出るのを待って6Stableで使った方が良さ気ニダ（5系統は微妙）。
TOMOYO BSDでも出れば使いたいニダ。

それにしてもSDにあったSSHログイン時の小技は良いニダよ。
/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上でログイン後に認証取らないとなーんにもできないようにしてやったニダ。
個人鯖なら認証の回数はやりたい放題なのが気に入ったニダ。

外部野ざらしは怖い怖い。
639 名前：デムパゆんゆん [2007/12/10(月) 11:09:53 ID:weSbgjCG]: >>638
もぱようござる
ﾌﾘBSD7.0のzfs使ってみたかったﾆﾀﾞよ
最初からzfsぢゃないんだな（泣　新しいのでないとｲﾔﾀﾞｲﾔﾀﾞ

address eth0とかtun0とかinterfaceで指定出来ないかのぅ？
wanだとダイナミックDNSとか使ったときアドレス変わるから繋がらなくなりそうな
ｵｶﾝ時々僕とｵﾄﾝ　こういう使い方がよくないのかしらん
setprofile -r 3 "<kernel>"selinuxもenforceにすると強烈でつ
シャットダウンできましぇんｗｗｗ
ファイルシステム　”/”以下全部制御したい気分

＞/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上で
＞ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
保護するの/usr/sbin/sshdだけでいいﾆｶ？
接続はwan→lan　lan→lanへ別の端末？
wanからのsshはやっぱりポートを開けねばならぬのぅ
VPNにしてwan0に仮想的にプライベートアドレスを割り当てられるのだらうか
sshの小ネタ集　SDのバックナンバー買ってくる　ﾑﾑﾑ
CTUみたく衛星回線でスクランブル発信で自動的にポートが開けられるとか　ﾌﾌﾌ
640 名前：login:Penguin mailto:sage [2007/12/10(月) 22:09:35 ID:XfaDvWiE]: >>639
SSH小ネタ集…というか、ログインセッションネタはSDの10と11月号ニダ。
けっしてウリはSD編集部の回し者ではないニダ。

ちなみにウリの環境は[WAN側]-[ルータ]-[LAN配下のPC]ニダ
ssh踏み台用サーバとMailとWeb用のサーバがあるけどMailとWeb鯖のsshポートは/usr/sbin/sshを固めた踏み台用PCしかログインできないようにしているでつ。
MailとWebもTOMOYOで固めているでつが、今のところ不都合なく半年以上またーりと運用できているニダ。

楽を覚えてしまうと他の事を覚えるのが面倒になってしまうのはきっと日帝の陰謀ニダ！
641 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:36:14 ID:lunSW/hp]: 明日、SDの編集さんと会うニダ。
来年の連載をどうするか話し合うニダ。
月刊誌の連載はつらいものがあるので、役に立たないなら遠慮したかったりするニダ。
意見、希望、コメント、その他あれば参考にするニダ。
ニダって何のことかわからないニダ。
642 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:41:48 ID:lunSW/hp]: >>636
メインラインにはいってたらここにも報告しているニダ。
Smackはmmツリーに入ったけれど、パス名ベースの
AAとTOMOYOは「よくわからない状態」になってしまっているニダ。
SELinuxチームにはいじめられなくなったけれど、
押してくれる人もいないし、誰が決めるかよくわからない変な状態ニダ。
LSMの見直しとか議論が始まってさらに謎は謎を呼んでいるニダ。

この状況を打開し、巨大な陰○と戦うべく近日再び動くニダ。
643 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:47:11 ID:lunSW/hp]: ttp://packages.debian.org/search?keywords=tomoyo&searchon=names&suite=all§ion=all

> 新しいパッケージポリシー対応作業などもするので、アップデートは
> もう少し後になります。
とのこと。感謝感謝。(_ _)
644 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:53:56 ID:lunSW/hp]: 11/29でPacSecで講演しました。資料は既にSF.jpで公開しています。
はてなからたどるのが簡単ニダ。
d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099

12/12にThinkITにレポートが掲載されます。
次のTOMOYO的なイベントは、1月末のITexpoでの展示です。

ネットワークセキュリティExpert 7も発売になったようです。
日経Linux最新号では、CELFの方によるメインライン特集ありなのでそちらも要チェック。
ttp://itpro.nikkeibp.co.jp/article/MAG/20071204/288654/
645 名前：デムパゆんゆん [2007/12/11(火) 00:04:38 ID:3zCF9GCJ]: >>640
ややこしいことしてまつね
同じ構成どこかの記事になってたような
探してみるか。
ttp://www.tamanegiya.com/nida-2.html
SDの連載毎回担当決めて持ち回りでやるのふぁ？
一人にかかる負担が減るとｵﾓ
ちょっと前LKMLざっと見た印象
ずっと熊猫せんせ～とLSM担当のトロンドせんせ～が平行線な感じ
ttp://lkml.org/lkml/2007/11/16/410
LKML読んでselinuxのステファンだったか
そもそもLSMがあんまり気に入らないみたいな印象だった
LSMつかってセキュリチーモヂュール作ってるのｦﾚらだけぢゃん？みたいな
ぢゃぁLSM仕様変えるとか、そもそもいらんのちゃう？と遠回しに言っているような気がした。
言い方が悪くlinuxを支配しようとするNSAの陰謀だ!!!みたくなって
つーかトロンドﾀﾝも相当偏屈だｗ　他の人にもｲﾗﾈの一言だ　ｳｰﾑ
646 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/11(火) 00:05:05 ID:lunSW/hp]: 12/21のCELF Jamboreeは要チェック。
ttp://tree.celinuxforum.org/CelfPubWiki/JapanTechnicalJamboree18
647 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:20:35 ID:AFvxJNeo]: >>635
＞xargs -0 setlevel < /etc/ccs/profile.conf
1.5.x なら
loadpolicy p
または
cat /etc/ccs/profile.conf | loadpolicy -p
でもＯＫ。（ p は profile.conf の p 、 m は manager.conf の m ね。）
setlevel は loadpolicy で代用可能、 setprofile は editpolicy で代用可能。
648 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:21:11 ID:AFvxJNeo]: >>638
＞ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
この手法はシェルを起動する場合にのみ適用可能な点に注意してくださいね。
ポート転送の場合にはシェルを起動する必要がないので、
MAC_FOR_NETWORK も併用して制限してやらないと
自由に ssh -L や ssh -R によるアクセスができてしまいます。
649 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:21:41 ID:AFvxJNeo]: >>639
＞address eth0とかtun0とかinterfaceで指定出来ないかのぅ？
インタフェースでの指定はサポートしていませんが、
address_group eth0 192.168.0.1 のような方法で exception_policy.conf に記述しておけば、
allow_network TCP bind @eth0 22 みたいに domain_policy.conf で指定できます。
あとは、ＩＰアドレスが変化したら address_group eth0 を更新するスクリプトを走らせば
動的に変化しても対処でき・・・るかな？スクリプトの内容は
echo address_group eth0 新しいアドレス | loadpolicy -e
echo delete address_group eth0 古いアドレス | loadpolicy -e
てな調子です。
650 名前：デムパゆんゆん [2007/12/12(水) 20:49:24 ID:1GwRrgco]: >>649
さんクスコ
適当にグループ名つけて分けられるんだにゃ
iptableみたいだ
マニュアル読んでて混乱してきた　ｳｰﾑ
メモ代わりにブログでも書くか
＞ニダって何のことかわからないニダ。
朝鮮語の皮肉
文末に～ニダ　～ﾆｶ？　感嘆詞　ｱｲｺﾞ～　とかetc
ちなみにセキュリティーexpoert　part7読んだ　ｳﾑ
651 名前：デムパゆんゆん [2007/12/12(水) 21:07:08 ID:1GwRrgco]: 忘れてた
来年のＳＤ連載どうなるでつか？
とりあえず今年の１－１２月号が聖典に～
御布施するぞお伏せするぞ
だんだん特アすれみたくなってきたな　まともな人間モードにしよう
652 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:02:12 ID:sQVncvfj]: >>648
あ、言い忘れました。
MAC_FOR_NETWORK を使わずとも OpenSSH の設定（ /etc/ssh/sshd_config ）で
ユーザ名やグループ名に基づくポート転送の制限を行うことが可能です。
詳細は ttp://www.oreilly.co.jp/books/4873112877/ の本に書かれています。
TOMOYO でも allow_network TCP connect 192.168.1.1 80 if task.uid=1000-2000 のように
ユーザＩＤやグループＩＤに基づくアクセス制限をサポートしています。
653 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:03:26 ID:sQVncvfj]: ttp://www.thinkit.co.jp/free/article/0712/9/1/
インプレスIT、やばい会社だ。
654 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:06:26 ID:sQVncvfj]: >>651
昨日、編集さんと打ち合わせますた。
来年も6回くらいの連載を書く方向で検討します。
8ページで、記事は6ページ、残りの2ページはプロジェクトのニュース、
という提案をいただきますた。

以前も書きましたが、「中の人」だけじゃなくて、この板を含めた
ユーザと一緒に執筆してみたいと思っています。丸投げではなく、
一緒に書くというイメージです。興味ある人があれば連絡ください。
655 名前：login:Penguin mailto:sage [2007/12/12(水) 23:15:12 ID:1hor2Jgk]: >>652
ふむふむ。
普段ほとんど（自分の環境では）ポート転送使っていないので頭から完全に抜け落ちておりましたですたい。
色々試してみますが、選択肢があることはよいことですね。

試して楽な方を選ぶことができるので。
656 名前：login:Penguin mailto:sage [2007/12/13(木) 00:59:17 ID:o8kOiAbC]: せんせーは、ばりばり英語が書けてすごい…。
というか、著名な開発者の方々は皆書けるんですよね…。
おれもこの前英語圏のプロジェクトにバグ修正
ってか機能追加の提案したけど一向に返事が来ない…
あまりにひどい英語だったから無視されちゃったのかなぁ (´･ω･`)
657 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:28:19 ID:B3Y4lHaA]: >>656
LKMLのTOMOYOのスレッドをたどるとわかりますが、
返事をもらえてないのは日常茶飯事です。返事をもらえなくて困るのは、
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
話すときも書くときも「これで良いのか？」を考えすぎると
何もできなくなるし、気持ちが委縮して、かえって伝わりにくくなります。
日本にきた外国人の人が片言でも言いたいことがわかるのと同じで、
「伝えたい」という気持ちをもっていれば、伝わります。
オタワでは母国語が英語でない人もたくさんいて、その人達の言葉は
やっぱりわかりにくかったのですが、でもそれでいいんです。
658 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:29:41 ID:B3Y4lHaA]: >>657 行が抜けてしまいますた

返事をもらえなくて困るのは、もらえない理由や、読んでくれたかが
わからないことです。また、メールで困るのは
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
659 名前：デムパゆんゆん [2007/12/13(木) 09:53:54 ID:Wths6Dev]: もぱようございます
インプレス　グローバルな時代にあわせろかぁ。ｗ
読むのにも１週間かかる　ｳｰﾑ
誤字脱字はにちゃんねるの文化　これでいいのだ
660 名前：login:Penguin mailto:sage [2007/12/13(木) 14:06:23 ID:CV+mmHd8]: CLANNADの智代かと思った

なんつってジョークだよ許してよ
661 名前：デムパゆんゆん [2007/12/15(土) 03:27:09 ID:gceWszq3]: ソウルで零戦に乗って、韓国国会前で着陸したら許してもらえるかもﾆﾀﾞ

最近思うのはつっこむとselinuxと余り変わらない気がするなぁ
/home　以下ユーザでログインできない　あぁ無情
gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
パッチ出たのが一昨日だっｗ
ともよﾀﾝそんなに困らさないででよん
662 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 10:24:51 ID:h9rQF8ZE]: >>661
もうちょっと詳しい情報ｷﾎﾞﾝﾇ
663 名前：デムパゆんゆん [2007/12/15(土) 15:52:47 ID:gceWszq3]: 上官殿ｯ!!!　報告するであります

鳥はF8　initは５が前提
selinuxはenforce　TOMOYOは setprofile -r 0,1,2,3 <kernel>
/home 以下ユーザでログインしたら
gdm-binary[2660]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
こんなメッセージが出る

selinuxがpermissiveだとログインできる
起動時/etc/X11/xinit/Xsessionの直前で/tmpにアクセスがあり
TOMOYO-WARNING: Access 'create /tmp/.gdmOOKP2T' denied for /usr/sbin/gdm-binary
TOMOYOがプロファイル1の時でも/tmp以下は学習はするものの
制御してるのかと思い　/tmp以下全部許可にしたりした

selinuxで/usr/sbin/gdm-binaryのアクセス権限がだめなのかと思い
現在ｸﾞｸﾞﾙ先生にご意見拝謁賜っておりまつ

続く
664 名前：デムパゆんゆん [2007/12/15(土) 16:12:09 ID:gceWszq3]: ＞gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
＞パッチ出たのが一昨日だっｗ
勘違いだった　リプライの日付でつた　selinuxも関係なさそうだあぁ無情
https://bugzilla.redhat.com/show_bug.cgi?id=379511
怒らないで　ともよﾀﾝ
鳥が鳥だけにメンテナも七転びバットウ
lists.linuxcoding.com/rhl/2007q4/msg11463.html
バグ再発
このまま茨の道を歩き続けるかselinuxをpermissiveにするか

localhost acpid: client connected from 2066[68:68]
localhost ccs-auditd: Started.
localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found
localhost pcscd:last message repeated 3 times
localhost acpid: client connected from 2168[0:0]
localhost gdm-binary[2198]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
localhost gdm-binary[2212]: Gtk-WARNING: Ignoring the separator setting
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2213]: Gtk-WARNING: Ignoring the separator setting

こんな感じ　ばぐ太なのか権限が足りないのかｳｰﾑ

続く
665 名前：login:Penguin [2007/12/15(土) 16:15:33 ID:1GRMYg0A]: 　　　┌─‐‐─┐　　みなさんは２ちゃんねるの初心者ですか？書き込む前に
　　　|_____________|　　SG(セキュリティー・ガード)に登録しないと自作自演がバレてしまいますよ。
　　 ='========='== SGに登録せずに書き込んだ場合、あなたのパソコン内の
　　　/ ＼　　／│　情報は他人に見られていると考えてほぼ間違いないでしょう。
　 ┌|-（・）-（・）-|┐ 自作自演がばれる方の多くはこの登録を怠っています。
　 └| 　　〇　 .|┘ 初期の頃から２ちゃんねるにいる方達は、ほとんどの方が
　　 |　___ |||||__　|　　このBBSのコマンドの仕組みを知っています。ですから簡単に
　　 |　＼＿＿/ |　　あなたのIPアドレス等を抜き取り自作自演を見破ってしまいます。
　　　| 　　||||| 　 |　　このコマンドの方法は決して教えないというのが初期の頃から
　　　　　　　　　　　　２ちゃんねるにいる方達の間で暗黙の了解となっていましたが、
あまりの被害の多さに心を痛めた私はあえて公開することにしました。
SGしておけばまず抜かれるコマンド自体が無効になってしまうのでどんなにスキルが
ある人でもIPアドレスを抜くことが不可能になります。SGに登録する方法は、
名前欄に「 fusianasan 」と入れて書き込みする。これだけでSGの登録は完了します。
一度登録すれば、Cokkieの設定をOFFにしない限り継続されます。
fusianasanは、正式にはフュージャネイザン、又はフュジャネイザンと読みます。
元々はアメリカの学生達の間で、チャットの時にセキュリティを強化する為に
開発されたシステムです。これを行うことにより同一人物が書き込んでいるか
どうか判別する手段が遮断されるので安心です。ぜひ書き込む前には
名前蘭にfusianasanと入力してください。自分の身は自分で守りましょう
666 名前：デムパゆんゆん [2007/12/15(土) 16:29:35 ID:gceWszq3]: あとはTOMOYOでこんなﾛｸﾞが
localhost kernel: TOMOYO-WARNING: Domain '<kernel> /sbin/init /etc/X11/prefdm /usr/sbin/gdm
/usr/sbin/gdm-binary /etc/X11/xinit/Xsession　/bin/bash /usr/bin/ssh-agent　/usr/bin/dbus-launch
/etc/X11/xinit/Xclients /usr/bin/gnome-session /usr/bin/gnome-panel
/usr/bin/gnome-terminal /bin/bash /usr/bin/yum'
has so many ACLs to hold. Stopped learning mode.

selinuxとTOMOYO両方使いたいのぅ　気分的に使うIDS減るｵｶﾝ　運用は地獄でつ

上官殿!!!　不本意な成績で申し訳ありません　自分の不遜にあります
以上、台湾航空隊第二攻撃隊のラバウル航空戦の戦績を報告するでありますっ!!!
667 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 17:42:10 ID:h9rQF8ZE]: Q. 結局のところ何が問題か説明せよ（長すぎてわからないぞ）
Q. 「問題」は(a) SELinuxの問題、(b) TOMOYO Linuxの問題、(c) 切り分けできていないのどれになるか？
　（TOMOYOに関係なく発生するならまずselinux-usersに質問するのが吉だ）
668 名前：デムパゆんゆん [2007/12/15(土) 18:55:14 ID:gceWszq3]: Ａ、(a) SELinuxの問題
ｳﾘはﾈﾀ投下のつもりでやってるﾆﾀﾞよ
ﾈﾀにならないなら投下しないﾆﾀﾞ
うわぁ～ん
669 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 19:42:50 ID:h9rQF8ZE]: >>668
ﾈﾀ投下ですか。それは失礼しますた。ﾈﾀは自由に投下ください。
TOMOYOの話題限定でなくても良いのですが、早く解決するには
SELinuxのほうに聞いたらと思ったのでした。

yumは特別な事情というか理由がなければ学習させなければ
良いと思います。（でもこれもﾈﾀか？）
670 名前：login:Penguin mailto:sage [2007/12/26(水) 01:38:13 ID:r4ypI5fU]: Vineが4.2へ。
一応Kernelが2.6.16-0vl76.27に切り替わっているけど既存の2.6.16-0vl76.3用パッチファイルで問題なくTOMOYO仕込んで再構築完了。
まぁ…マイナーアップなのである意味当然な結果になりましたが…。
671 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/27(木) 07:40:40 ID:SXWTylVx]: TOMOYO Linuxのディストリビューション対応状況2007.12.25版です。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-dev/2007-December/000749.html

添付されていたExcelをGoogle Spreadsheetsで公開してみました。
ttp://spreadsheets.google.com/ccc?key=p5SYVEC0jPMO_UUm1hsvQWQ#
672 名前：login:Penguin mailto:sage [2007/12/28(金) 01:37:38 ID:tdQ5au30]: ccs-toolsをコンパイルするにあたり、必須な物って何がありますか？
当方Debian（Etch/Lenny）を使っているのですが、make中に大量のWarningを吐き出してしまいます。
一応、Errorは吐き出さないので成功…なのかもしれませんが、ちと気になります。
以前までVinelinux4.1を使っていたのですが、その時はWarningは吐かなかったので…。

make -C ccstools/ all
make: Entering directory `/root/ccstools'
gcc -Wall -O2 -o ccstools ccstools.src/*.c -lncurses -DCOLOR_ON
ccstools.src/ccstools.c: In function 'IsDomainDef':
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of '__builtin_strcmp' differ in signedness

(中略）

timeauth.c:272: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
timeauth.c:274: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
gcc -Wall -O2 -o falsh falsh.c -lncurses -lreadline
make: Leaving directory `/root/ccstools'

Debian自体は最小構成でインストールしているのでほとんど余計（必須）な物が入っておりません。
取りあえず

make
libncurses5-dev
libreadline5-dev

は入れております。
673 名前：LiveCDの中の人 mailto:sage [2007/12/29(土) 03:31:21 ID:i64ao+JI]: >>672
結論から言うと、このwarningは無害です。
警告を消すには、Makefileの35行目のコメントアウトを解除して、
37行目をコメントアウトしてください。
Vineで出ずにEtch/Lennyで出る、というのは、
Vineのgccが、この警告を表示するオプションno-pointer-signが
まだ実装されていないバージョンのためです。

TOMOYOの内部では文字列をunsigned charポインタで表現していますが、
strlenなどの関数が受け取り方がただのcharポインタであることが原因です。
674 名前：login:Penguin mailto:sage [2007/12/29(土) 09:11:51 ID:S76xHoyg]: >>673
文字コードに依存した処理（文字コードに子息演算とか）をしなければ、charで事足りると思うのですが、
敢えてucharな理由はなんですか？
675 名前：login:Penguin [2007/12/29(土) 15:07:37 ID:hCsJ400H]: >>674

TOMOYO ではエンコーディングは考慮しません。
全ての文字列を ASCII printable な文字だけで構成します。
そのため、 ASCII printable ではない範囲のバイト
（ 0x01 ～ 0x20 および 0x7F ～ 0xFF ）については
\ooo という８進数で表記します。
この４バイトで表記される８進数データと１バイトで表記されるバイナリデータとを
相互変換する際にビット演算が必要になるので、毎度 signed か unsigned かを
考慮するのが面倒という理由から、最初から unsigned で扱うようにしています。
また、 ASCII printable でないことを検査する際に
1 以上 32 以下または 127 以上 255 以下と表記する方が
-128 以上 -1 以下または 1 以上 32 以下または 127 と表記するよりも
理解しやすいと考えています。
技術的には必要に応じて unsigned char にキャストすれば可能です。
676 名前：login:Penguin mailto:sage [2007/12/30(日) 00:52:55 ID:ekUClILt]: >>673
Thxです。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef