TOMOYO Linux

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/09 18:21 / Filesize : 339 KB / Number-of Response : 913
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

TOMOYO Linux

1 名前：login:Penguin [2006/07/07(金) 16:28:14 ID:+/HOu7cX]: 向こうはスレッド名がよくないのとＣＣさくらヲタしか集まってこないのでフォークした。
重複ではないと思っている。

TOMOYO Linux プロジェクト
tomoyo.sourceforge.jp/ja/doc/index.html
596 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/25(日) 07:55:11 ID:5c7oH0Sf]: 日本語ローカライズドDesktop CD（ISOイメージ）のダウンロード自体はこちら。
ttp://www.ubuntulinux.jp/products/JA-Localized/download

Ubuntu 7.10でのTOMOYO Linux利用は、
・Ubuntu 7.10（標準）でexperimentalのパッケージを追加する
・Ubuntu 7.10で、自分でカーネルをビルドする
・TOMOYOプロジェクトのLiveCDから「インストール」する
　（勿論インストールしないでLiveCDとしての利用も可）
の3つの方法が可能になりました。

今さらですが、7.10でのTOMOYOのパッケージ(deb)がないことに気がつきました。
597 名前：login:Penguin mailto:sage [2007/11/25(日) 16:44:23 ID:325QUF8p]: Gentoo に TOMOYO 2.1.1 をいれてみた。
まだ、よく使ってないけどいくつか思ったことを。
- ccs-tools に LICENCE も INSTALL もなくて不便 & README がなんかいまいち。
- パッチがカーネルのどのバージョン用のものかがわからなかった。
- ccs-tools と ccs-patch で少し混乱。
- コンソールで作業したから、英語Wiki を見てたんだけど、内容が少し古いことを書いてほしかった。
.init がねぇ…とずっと探してしまった…。
- で、適当にccs-init を動かしちゃったんだけど… /etc/ccs は消してもOKなのかなぁ?

今度 ebuild でも作ってみようかな…。
598 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/25(日) 19:59:55 ID:5c7oH0Sf]: >>597
情報ありがとうございます。開発メンバーに伝えておきます。
/etc/ccsは消してもOKです。
599 名前：login:Penguin mailto:sage [2007/11/26(月) 02:57:52 ID:fkMxnajX]: >>598
/etc/ccs 消しました。Wiki も情報が新旧混ざってますねぇ。

ところでせんせー質問いいですか!
apache の動作を制約してみようかと、editpolicy で apache の学習結果とにらめっこしてます。
- allow_create /var/tmp/etilqs_<ランダムな文字列> というエントリがたくさんあるんですが、
まとめるには、A して allow_create /var/tmp/etilqs_\* でOKですか?
- 基本全部通すけれど、特定のIPアドレスは許可しないというのはできますか?
- udev と小狼君は協調できますか?
600 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/26(月) 07:15:37 ID:x1nnOH3A]: >>599
SDの連載のWiki掲載でも情報整理の必要性を認識しました。wikiについても
古い内容が更新されていないところがあるので、すみませんが当面webのほうで
確認しながら作業ください。

アクセス追加はそれで良いですが、file_patternとしてまとめて名前を
つけることもできます。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/policy-reference.html
また、patternizeというツールもご利用ください。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2006-November/000140.html

「基本全部通す」は、TOMOYOでは指定できませんが、近い指定は可能かも
しれません。あとで開発メンバーに聞いてみます。
udevと小狼は同時に使えるはずです。
601 名前：login:Penguin mailto:sage [2007/11/26(月) 12:17:11 ID:fkMxnajX]: patternize 便利ですね～。editpolicy の (隠し機能?の)'o' もかなり使えますな。
patternize の使用法は d.hatena.ne.jp/naothy/20070809 がわかりやすかったです。
/proc/ccs がなくて /sys/kernel/security/tomoyo を探しだすのに手間どりましたがw

またまた質問でごめんなさい。
aggregator の第二引数は実際には存在しないパス(とかフルパス形式をとらないもの)でもOK?
例えば、
aggregator /bin/grep basic-shellscript-progs
aggregator /bin/sed basic-shellscript-progs
…
keep_domain basic-shellscript-progs from /home/yukiusagi/yue.sh
keep_domain basic-shellscript-progs from /home/sakura/kero.sh
…
のようにしてお手軽にシェルスクリプトがいじれるファイル群を制御したい。
それとも、/virtual/shellscript/basic みたいにしたほうがいいのかな?なんとなく。

# ','区切りで複数指定とか補完を使えるといいなぁ。ESCでキャンセルとか…。
# 追加成功/エラーメッセージも…
602 名前：login:Penguin mailto:sage [2007/11/26(月) 12:35:40 ID:tBfVfAfJ]: >>543
TOMOYOのことをもっと勉強してみたくなったのですが、資料があまりなく先日SDのバックナンバーを全部購入しました。
でも後悔はないんですよ、TOMOYOに貢献できるのはこれくらいしかないですから。
自動学習の先は、奥が深いです。
603 名前：login:Penguin mailto:sage [2007/11/26(月) 19:11:55 ID:/yb/58Km]: grant_logがうっとおしい時は echo 'MAX_GRANT_LOG=0'>/sys/kernel/security/tomoyo/profile でいいんかな。
'>' だと他の設定が消えそうなイメージがあってこわいな
604 名前：login:Penguin [2007/11/26(月) 22:27:26 ID:S3PFnDKS]: >>599
> まとめるには、A して allow_create /var/tmp/etilqs_\* でOKですか?
はい、それでもＯＫです。
もし \* の部分が６文字でしたら /var/tmp/etilqs_\?\?\?\?\?\? とした方が厳密になります。
605 名前：login:Penguin [2007/11/26(月) 22:28:40 ID:S3PFnDKS]: >>600

>「基本全部通す」は、TOMOYOでは指定できませんが、近い指定は可能かもしれません。
ホワイトリスト形式なので除外したい範囲を除いて指定してください。
例えば 127.0.0.0-127.255.255.255 を除外したければ、例外ポリシーで

address_group non-local 0.0.0.0-126.255.255.255
address_group non-local 128.0.0.0-255.255.255.255

のようにして、ドメインポリシーの方では

allow_network TCP accept @non-local 1024-65535

のように指定します。

> udevと小狼は同時に使えるはずです。
同時に使おうとすると udev が syaoran の上に tmpfs を被せてしまいますので、
（桜ちゃんのマウント制限機能である）DENY_CONCEAL_MOUNT=3 を併用する必要があります。
606 名前：login:Penguin [2007/11/26(月) 22:29:28 ID:S3PFnDKS]: >>601
> aggregator の第二引数は実際には存在しないパス(とかフルパス形式をとらないもの)でもOK?
ＯＫです。でも、パス名であることを示すために / で始まる名前である必要があります。
/./ とか // とかで始めれば実際に存在するパス名と衝突しないので良いかと思います。
607 名前：login:Penguin [2007/11/26(月) 22:30:14 ID:S3PFnDKS]: >>603
> grant_logがうっとおしい時は echo 'MAX_GRANT_LOG=0'>/sys/kernel/security/tomoyo/profile でいいんかな。
setlevel プロファイル番号-MAX_GRANT_LOG=0
です。
608 名前：login:Penguin mailto:sage [2007/11/27(火) 02:47:43 ID:GsZ7Df8e]: >>604-607
いっぱい答えてくれてありがとうございます。

もひとつ。再起動せずにmanager.conf の再読みこみはできないの?
609 名前：login:Penguin [2007/11/27(火) 06:37:20 ID:5fq2Zs/N]: >>608
loadpolicy m
または
cat /etc/ccs/manager.conf | loadpolicy -m
です。
610 名前：login:Penguin mailto:sage [2007/11/27(火) 08:36:51 ID:Fp2ivJlT]: 　　　　　, ' ,. '´　　　　　　　　　｀ヽ､ヽ
　　　　 ,.' ,.' 　　, 　　, 　　　　　　ヽﾞ､
　　　　　〃/, , 　 ,',' , 　　! |l 　　 | l 　 ', ﾞ., ',
　　　　ｌ| { { { 　 !l　! 　　lll |　　　! ! 　 }l　! !
　　　　 !{ | l l　_r┴‐'ｭ___|l! |＿__,','L.__ l|　| |
.　　　 | '.,| ,' ｦ, ''二.ヽ.|┐ 　 '""ﾞﾞﾞﾞﾞﾞ'''｀ｰ/ﾉ!
　　　　 |　 ,-',{l|{ （○） }| | 　　_........._ 　 ,','　ｌ
　　　 |　｛（ﾞ,_ﾐヽ二ノ | | 　　,;=＝=:.､ ,' ）｝ｌ
　　　 !　〉'´,rﾞ|r ‐‐┐| |､　　　　　　 ,' .ノ　!
　　　　|　/　/, ┴‐‐ｭ'ﾞ┘!‐‐; 　　　 ,'l´ 　　!
　　　!　|　'´　,.ィエ._|￣l|ｰ' 　　　ィ　|　　　 !
　　　 ,'　 ! 　 '" _,-r:ｲ r:､l_...､ - i ´　l　 |　　　 ',
　　　,'　 ,'ﾞ､　　r| ﾞ､'; ﾞ､ヽ､｀ヽ､./｀＼ |　 ! 　　　ﾞ､
　　 /　/ﾞ､ヽ､ { {　ヾ､｀'┘　ﾞi､　ﾉヾ､.', 　　　':,
.　 /　/,-|＼　｀ﾞヾヽ､　　　　ﾉ^{'"　　//ヽ､　　 ':,
611 名前：login:Penguin mailto:sage [2007/11/28(水) 23:31:11 ID:mC4LQURi]: 最近の selinux-users 見てると TOMOYO のほうが断然いいんじゃないかと思えてきた。
SELinux の雑誌連載読んだり、英語記事読んだりして頭を悩ませたあの苦労は一体なんだったんだ
612 名前：login:Penguin mailto:sage [2007/11/29(木) 00:20:45 ID:VA2JqiNB]: SELinuxはすぐにOFFが基本
613 名前：デムパゆんゆん [2007/11/29(木) 00:24:34 ID:4QZMaE+W]: SE Linuxでカーネルのセキュリチーのたたき台が出来たし
市場としてもこれからでね？
SE Linuxはpostgresqlのロール権限みたいなもんだと
SD２００４年１０月号読んでｦﾚｦﾚ学習した
日本版SOXとな　コンプライアンスとな
セキュリチー面倒だと　二律背反な現世でつ
と言う事で、ﾙｰﾀは気楽にふりBSDにしまつｗ
ごめんあさい　ごめんあさいｗｗｗ
614 名前：login:Penguin mailto:sage [2007/11/29(木) 09:07:31 ID:BI7MDb56]: NSA作頑丈にしてみた
615 名前：login:Penguin mailto:sage [2007/11/29(木) 10:01:42 ID:7JijcZKv]: >>612
SELinux の中の人達はこういうユーザの現状を認識してんのかな?
ユーザのこと考えずに理論だけでやってる気がするよ。
616 名前：login:Penguin mailto:sage [2007/11/29(木) 11:30:47 ID:GXCy7vaZ]: SELinuxは生半可なユーザは対象外
生半可な人達はこういうことを認識してんのかな?
617 名前：login:Penguin mailto:sage [2007/11/29(木) 11:38:10 ID:ZTQjLxRL]: ↑これはある意味正しいね
SELinuxはアメリカ政府、軍事を守るための技術
使いやすさを優先してたら生命の危機に関わる
618 名前：login:Penguin mailto:sage [2007/11/29(木) 15:06:57 ID:mGzdZ1hQ]: 正論すぎて泣いた
619 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/29(木) 18:25:04 ID:uxwmlobe]: PacSec終わりますた。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2007-November/000309.html
620 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/29(木) 18:29:03 ID:uxwmlobe]: >>610
「名前」で騒ぐ人は多いのですが、"TOMOYO"である意味がわかっている人は
少なくて、それをいつも残念に思っていました。
621 名前：login:Penguin mailto:sage [2007/12/01(土) 10:37:59 ID:EHGz1Vat]: >>620
TOMITAKE Linux
でもいいってことだよ
622 名前：login:Penguin mailto:sage [2007/12/01(土) 13:21:22 ID:alin/Y65]: 批判じゃないです。

古典文学(古典SFや古典ファンタジーを含む)からの引用は容易に受け入れられています。
なぜか。

近代文学からの引用というのは、敬遠されガチな気がします。
なぜか。
さらに近代のテレビ番組とジャンルが偏っていくと
その傾向が強くなるのではないでしょうか。

印象が強いものより無味無臭に近いものが無難という
ただの偏見だと思いますが、根強い擦り込みがあるのでしょうね。
それを気に止めないのは頼もしいと思います。

それがマーケティング的にプラスになるのかマイナスになるのか
ハラハラしつつ見守る無駄に小心者な部外者がわたしです。

便利なものに仕上ればいいなぁと思っているからこそ。
623 名前：login:Penguin mailto:sage [2007/12/01(土) 13:40:07 ID:EHGz1Vat]: 古典SFっていつごろを指すの？
ウェルズくらいまで？クラークとかは近代扱いでおｋ？
624 名前：login:Penguin mailto:sage [2007/12/01(土) 14:32:18 ID:alin/Y65]: >>621-623
~~~~~~~~~~~
↑こういうのを無視して技術的な話を続けてください。
相手の思うつぼなので。

ノシ
625 名前：login:Penguin mailto:sage [2007/12/01(土) 17:09:32 ID:EHGz1Vat]: >>624
振ってきたのは>>620だろ・・・
626 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/01(土) 18:04:23 ID:YI4Lfj9H]: スマソ
627 名前：デムパゆんゆん [2007/12/01(土) 23:35:19 ID:qc41z5Cq]: 怒られたw
628 名前：login:Penguin mailto:sage [2007/12/05(水) 11:15:17 ID:CA9y6kMb]: ほえー
629 名前：login:Penguin mailto:sage [2007/12/05(水) 20:54:48 ID:Nsoz8sT6]: 1.5.2が出ているね。
いつも通りVineで無事再構築終了。
自分の環境に今回の修正はあんまり影響なさそうだったけど気分的に常に最新版を（→これで他の事でもよく地雷踏んでるが）。

マイナーアップみたいなので左程問題が発生するとは思えないですが、取りあえずリリースされたらされたで公式ページにその情報は出して欲しいなぁ…と少々希望。
ところで…/usr/sbinにもccsツールが入るようになっているようですが何か事情があったのでしょうか。
630 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/05(水) 23:23:47 ID:/OndcmTF]: >>629
リリースについては、歴史的な経緯により以下の順で行っています。
1. tomoyo-users mlへの投稿 by 熊猫
2a. はてなキーワードへの追加 by 中野
2b. SourceForge.jpのプロジェクトニュースへの掲載 by 中野
3. LXRの更新 by 中野

もっとも早く、もっとも情報量が多いのが1で、2aや2bは1の内容を
それぞれの場に適したものに編集してから掲載しており、2bを先に書いて
2aではそれをポイントしていることがありますが、そのあたりは
やはり1の内容によりその都度判断しています。1を熊猫さんが行っているのは、
「より詳しい情報をロスなく早く提供する」という考え方と理解下さい。
ということでちょっと他のプロジェクトとは違うかもしれませんが、
ユーザや開発者の方には是非tomoyo-usersを購読いただきたいと思っています。

mlの過去のアーカイブを見ると1について、午前0時に行われていることが
わかりますが、これは社内リリース手続きの完了を待って行って
いたためです。ターボさんでの採用やディストロ対応を行ってくださる方の
ために上記に加えて事前予告を始めました。
631 名前：login:Penguin mailto:sage [2007/12/05(水) 23:39:23 ID:1q9gnTlu]: >>630
何故 devel へは告知しないの？
632 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/05(水) 23:40:32 ID:/OndcmTF]: >>631
プロジェクトの中では「develの人はusersは読んでいる」と思っているからです。
633 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/06(木) 00:03:46 ID:WbWUOs9u]: >>629
今回のリリースで、/usr/sbin/の下にシンボリックリンクを置くことにしたきっかけは
/usr/lib/ccs/の下に実行可能ファイルを置くのはtomoyo-devで
FHS (Filesystem Hierarchy Standard)として好ましくないという指摘が
あったことがきっかけです。

これから全く新規に提供するものであれば最初からFHS準拠にするのですが、
/usr/lib/ccsの下に置かれたファイルの場所を変更するとmanager.confや
既存のポリシーに影響してしまうため、このような形態を選択しました。
真の解決ではないので、どこかのタイミングで整理したいと思っています。

また、オンラインマニュアル作成の際にSELinuxとのコマンド名重複が
発見されたので/usr/sbin/配下ではccs-という接頭辞を追加しました。
634 名前：デムパゆんゆん [2007/12/08(土) 21:54:36 ID:sHGmKago]: init_policy.shもう一度やり直すとき、
/etc/ccs以下を削除すればいいﾆｶ？
ISP全面規制だ
ｱｲｺﾞｰ
635 名前：login:Penguin mailto:sage [2007/12/09(日) 00:07:15 ID:fw91IWD0]: /etc/ccsをバックアップ取って実行してみるニダ。
大丈夫なはずだが駄目だったら時空太閤HIODEHOSHIのせいにすれば良いニダ。

/etc/ccs/profile.confを弄っているなら…
xargs -0 setlevel < /etc/ccs/profile.conf
をしておいた方が良いニカ？
636 名前：login:Penguin [2007/12/09(日) 03:26:02 ID:awIRvzBx]: いつのまにこんなに盛況なスレに！

で、メインラインに入ったんですか？

忙しくて今年一杯は何もできない者より
637 名前：デムパゆんゆん [2007/12/09(日) 11:51:49 ID:mvxahewm]: >>635
時は遅し　ｱｲｺﾞ～
rm -rf /etc/ccs
ｗｗｗ

less init=policy.sh したら
最後の数行でディレクトリ掘ってたからとりあえずフォルダ削除したﾆﾀﾞよ
やっとfedora 8で動いた　あぁ感無量
selinuxと共存させているがインスコが面倒過ぎる以外は特になんもない
seeditでポリシをさわってﾆﾔﾆﾔ　tail /var/log/tomoyo/reject_log.txtみてﾆﾔﾆﾔ
FreeBSDでﾙｰﾀの話はどうなったか・・・。
7.0BETA3はインスコできなかった　BETA4で試す気力がない
そんなわけで、いぢけて犬に戻ってきたでがんす　ﾜﾝ
638 名前：login:Penguin mailto:sage [2007/12/10(月) 01:08:30 ID:XfaDvWiE]: >>637
FreeBSD7.xでルータ化ニカ？
素直に6.3出るのを待って6Stableで使った方が良さ気ニダ（5系統は微妙）。
TOMOYO BSDでも出れば使いたいニダ。

それにしてもSDにあったSSHログイン時の小技は良いニダよ。
/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上でログイン後に認証取らないとなーんにもできないようにしてやったニダ。
個人鯖なら認証の回数はやりたい放題なのが気に入ったニダ。

外部野ざらしは怖い怖い。
639 名前：デムパゆんゆん [2007/12/10(月) 11:09:53 ID:weSbgjCG]: >>638
もぱようござる
ﾌﾘBSD7.0のzfs使ってみたかったﾆﾀﾞよ
最初からzfsぢゃないんだな（泣　新しいのでないとｲﾔﾀﾞｲﾔﾀﾞ

address eth0とかtun0とかinterfaceで指定出来ないかのぅ？
wanだとダイナミックDNSとか使ったときアドレス変わるから繋がらなくなりそうな
ｵｶﾝ時々僕とｵﾄﾝ　こういう使い方がよくないのかしらん
setprofile -r 3 "<kernel>"selinuxもenforceにすると強烈でつ
シャットダウンできましぇんｗｗｗ
ファイルシステム　”/”以下全部制御したい気分

＞/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上で
＞ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
保護するの/usr/sbin/sshdだけでいいﾆｶ？
接続はwan→lan　lan→lanへ別の端末？
wanからのsshはやっぱりポートを開けねばならぬのぅ
VPNにしてwan0に仮想的にプライベートアドレスを割り当てられるのだらうか
sshの小ネタ集　SDのバックナンバー買ってくる　ﾑﾑﾑ
CTUみたく衛星回線でスクランブル発信で自動的にポートが開けられるとか　ﾌﾌﾌ
640 名前：login:Penguin mailto:sage [2007/12/10(月) 22:09:35 ID:XfaDvWiE]: >>639
SSH小ネタ集…というか、ログインセッションネタはSDの10と11月号ニダ。
けっしてウリはSD編集部の回し者ではないニダ。

ちなみにウリの環境は[WAN側]-[ルータ]-[LAN配下のPC]ニダ
ssh踏み台用サーバとMailとWeb用のサーバがあるけどMailとWeb鯖のsshポートは/usr/sbin/sshを固めた踏み台用PCしかログインできないようにしているでつ。
MailとWebもTOMOYOで固めているでつが、今のところ不都合なく半年以上またーりと運用できているニダ。

楽を覚えてしまうと他の事を覚えるのが面倒になってしまうのはきっと日帝の陰謀ニダ！
641 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:36:14 ID:lunSW/hp]: 明日、SDの編集さんと会うニダ。
来年の連載をどうするか話し合うニダ。
月刊誌の連載はつらいものがあるので、役に立たないなら遠慮したかったりするニダ。
意見、希望、コメント、その他あれば参考にするニダ。
ニダって何のことかわからないニダ。
642 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:41:48 ID:lunSW/hp]: >>636
メインラインにはいってたらここにも報告しているニダ。
Smackはmmツリーに入ったけれど、パス名ベースの
AAとTOMOYOは「よくわからない状態」になってしまっているニダ。
SELinuxチームにはいじめられなくなったけれど、
押してくれる人もいないし、誰が決めるかよくわからない変な状態ニダ。
LSMの見直しとか議論が始まってさらに謎は謎を呼んでいるニダ。

この状況を打開し、巨大な陰○と戦うべく近日再び動くニダ。
643 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:47:11 ID:lunSW/hp]: ttp://packages.debian.org/search?keywords=tomoyo&searchon=names&suite=all§ion=all

> 新しいパッケージポリシー対応作業などもするので、アップデートは
> もう少し後になります。
とのこと。感謝感謝。(_ _)
644 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:53:56 ID:lunSW/hp]: 11/29でPacSecで講演しました。資料は既にSF.jpで公開しています。
はてなからたどるのが簡単ニダ。
d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099

12/12にThinkITにレポートが掲載されます。
次のTOMOYO的なイベントは、1月末のITexpoでの展示です。

ネットワークセキュリティExpert 7も発売になったようです。
日経Linux最新号では、CELFの方によるメインライン特集ありなのでそちらも要チェック。
ttp://itpro.nikkeibp.co.jp/article/MAG/20071204/288654/
645 名前：デムパゆんゆん [2007/12/11(火) 00:04:38 ID:3zCF9GCJ]: >>640
ややこしいことしてまつね
同じ構成どこかの記事になってたような
探してみるか。
ttp://www.tamanegiya.com/nida-2.html
SDの連載毎回担当決めて持ち回りでやるのふぁ？
一人にかかる負担が減るとｵﾓ
ちょっと前LKMLざっと見た印象
ずっと熊猫せんせ～とLSM担当のトロンドせんせ～が平行線な感じ
ttp://lkml.org/lkml/2007/11/16/410
LKML読んでselinuxのステファンだったか
そもそもLSMがあんまり気に入らないみたいな印象だった
LSMつかってセキュリチーモヂュール作ってるのｦﾚらだけぢゃん？みたいな
ぢゃぁLSM仕様変えるとか、そもそもいらんのちゃう？と遠回しに言っているような気がした。
言い方が悪くlinuxを支配しようとするNSAの陰謀だ!!!みたくなって
つーかトロンドﾀﾝも相当偏屈だｗ　他の人にもｲﾗﾈの一言だ　ｳｰﾑ
646 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/11(火) 00:05:05 ID:lunSW/hp]: 12/21のCELF Jamboreeは要チェック。
ttp://tree.celinuxforum.org/CelfPubWiki/JapanTechnicalJamboree18
647 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:20:35 ID:AFvxJNeo]: >>635
＞xargs -0 setlevel < /etc/ccs/profile.conf
1.5.x なら
loadpolicy p
または
cat /etc/ccs/profile.conf | loadpolicy -p
でもＯＫ。（ p は profile.conf の p 、 m は manager.conf の m ね。）
setlevel は loadpolicy で代用可能、 setprofile は editpolicy で代用可能。
648 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:21:11 ID:AFvxJNeo]: >>638
＞ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
この手法はシェルを起動する場合にのみ適用可能な点に注意してくださいね。
ポート転送の場合にはシェルを起動する必要がないので、
MAC_FOR_NETWORK も併用して制限してやらないと
自由に ssh -L や ssh -R によるアクセスができてしまいます。
649 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:21:41 ID:AFvxJNeo]: >>639
＞address eth0とかtun0とかinterfaceで指定出来ないかのぅ？
インタフェースでの指定はサポートしていませんが、
address_group eth0 192.168.0.1 のような方法で exception_policy.conf に記述しておけば、
allow_network TCP bind @eth0 22 みたいに domain_policy.conf で指定できます。
あとは、ＩＰアドレスが変化したら address_group eth0 を更新するスクリプトを走らせば
動的に変化しても対処でき・・・るかな？スクリプトの内容は
echo address_group eth0 新しいアドレス | loadpolicy -e
echo delete address_group eth0 古いアドレス | loadpolicy -e
てな調子です。
650 名前：デムパゆんゆん [2007/12/12(水) 20:49:24 ID:1GwRrgco]: >>649
さんクスコ
適当にグループ名つけて分けられるんだにゃ
iptableみたいだ
マニュアル読んでて混乱してきた　ｳｰﾑ
メモ代わりにブログでも書くか
＞ニダって何のことかわからないニダ。
朝鮮語の皮肉
文末に～ニダ　～ﾆｶ？　感嘆詞　ｱｲｺﾞ～　とかetc
ちなみにセキュリティーexpoert　part7読んだ　ｳﾑ
651 名前：デムパゆんゆん [2007/12/12(水) 21:07:08 ID:1GwRrgco]: 忘れてた
来年のＳＤ連載どうなるでつか？
とりあえず今年の１－１２月号が聖典に～
御布施するぞお伏せするぞ
だんだん特アすれみたくなってきたな　まともな人間モードにしよう
652 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:02:12 ID:sQVncvfj]: >>648
あ、言い忘れました。
MAC_FOR_NETWORK を使わずとも OpenSSH の設定（ /etc/ssh/sshd_config ）で
ユーザ名やグループ名に基づくポート転送の制限を行うことが可能です。
詳細は ttp://www.oreilly.co.jp/books/4873112877/ の本に書かれています。
TOMOYO でも allow_network TCP connect 192.168.1.1 80 if task.uid=1000-2000 のように
ユーザＩＤやグループＩＤに基づくアクセス制限をサポートしています。
653 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:03:26 ID:sQVncvfj]: ttp://www.thinkit.co.jp/free/article/0712/9/1/
インプレスIT、やばい会社だ。
654 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:06:26 ID:sQVncvfj]: >>651
昨日、編集さんと打ち合わせますた。
来年も6回くらいの連載を書く方向で検討します。
8ページで、記事は6ページ、残りの2ページはプロジェクトのニュース、
という提案をいただきますた。

以前も書きましたが、「中の人」だけじゃなくて、この板を含めた
ユーザと一緒に執筆してみたいと思っています。丸投げではなく、
一緒に書くというイメージです。興味ある人があれば連絡ください。
655 名前：login:Penguin mailto:sage [2007/12/12(水) 23:15:12 ID:1hor2Jgk]: >>652
ふむふむ。
普段ほとんど（自分の環境では）ポート転送使っていないので頭から完全に抜け落ちておりましたですたい。
色々試してみますが、選択肢があることはよいことですね。

試して楽な方を選ぶことができるので。
656 名前：login:Penguin mailto:sage [2007/12/13(木) 00:59:17 ID:o8kOiAbC]: せんせーは、ばりばり英語が書けてすごい…。
というか、著名な開発者の方々は皆書けるんですよね…。
おれもこの前英語圏のプロジェクトにバグ修正
ってか機能追加の提案したけど一向に返事が来ない…
あまりにひどい英語だったから無視されちゃったのかなぁ (´･ω･`)
657 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:28:19 ID:B3Y4lHaA]: >>656
LKMLのTOMOYOのスレッドをたどるとわかりますが、
返事をもらえてないのは日常茶飯事です。返事をもらえなくて困るのは、
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
話すときも書くときも「これで良いのか？」を考えすぎると
何もできなくなるし、気持ちが委縮して、かえって伝わりにくくなります。
日本にきた外国人の人が片言でも言いたいことがわかるのと同じで、
「伝えたい」という気持ちをもっていれば、伝わります。
オタワでは母国語が英語でない人もたくさんいて、その人達の言葉は
やっぱりわかりにくかったのですが、でもそれでいいんです。
658 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:29:41 ID:B3Y4lHaA]: >>657 行が抜けてしまいますた

返事をもらえなくて困るのは、もらえない理由や、読んでくれたかが
わからないことです。また、メールで困るのは
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
659 名前：デムパゆんゆん [2007/12/13(木) 09:53:54 ID:Wths6Dev]: もぱようございます
インプレス　グローバルな時代にあわせろかぁ。ｗ
読むのにも１週間かかる　ｳｰﾑ
誤字脱字はにちゃんねるの文化　これでいいのだ
660 名前：login:Penguin mailto:sage [2007/12/13(木) 14:06:23 ID:CV+mmHd8]: CLANNADの智代かと思った

なんつってジョークだよ許してよ
661 名前：デムパゆんゆん [2007/12/15(土) 03:27:09 ID:gceWszq3]: ソウルで零戦に乗って、韓国国会前で着陸したら許してもらえるかもﾆﾀﾞ

最近思うのはつっこむとselinuxと余り変わらない気がするなぁ
/home　以下ユーザでログインできない　あぁ無情
gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
パッチ出たのが一昨日だっｗ
ともよﾀﾝそんなに困らさないででよん
662 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 10:24:51 ID:h9rQF8ZE]: >>661
もうちょっと詳しい情報ｷﾎﾞﾝﾇ
663 名前：デムパゆんゆん [2007/12/15(土) 15:52:47 ID:gceWszq3]: 上官殿ｯ!!!　報告するであります

鳥はF8　initは５が前提
selinuxはenforce　TOMOYOは setprofile -r 0,1,2,3 <kernel>
/home 以下ユーザでログインしたら
gdm-binary[2660]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
こんなメッセージが出る

selinuxがpermissiveだとログインできる
起動時/etc/X11/xinit/Xsessionの直前で/tmpにアクセスがあり
TOMOYO-WARNING: Access 'create /tmp/.gdmOOKP2T' denied for /usr/sbin/gdm-binary
TOMOYOがプロファイル1の時でも/tmp以下は学習はするものの
制御してるのかと思い　/tmp以下全部許可にしたりした

selinuxで/usr/sbin/gdm-binaryのアクセス権限がだめなのかと思い
現在ｸﾞｸﾞﾙ先生にご意見拝謁賜っておりまつ

続く
664 名前：デムパゆんゆん [2007/12/15(土) 16:12:09 ID:gceWszq3]: ＞gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
＞パッチ出たのが一昨日だっｗ
勘違いだった　リプライの日付でつた　selinuxも関係なさそうだあぁ無情
https://bugzilla.redhat.com/show_bug.cgi?id=379511
怒らないで　ともよﾀﾝ
鳥が鳥だけにメンテナも七転びバットウ
lists.linuxcoding.com/rhl/2007q4/msg11463.html
バグ再発
このまま茨の道を歩き続けるかselinuxをpermissiveにするか

localhost acpid: client connected from 2066[68:68]
localhost ccs-auditd: Started.
localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found
localhost pcscd:last message repeated 3 times
localhost acpid: client connected from 2168[0:0]
localhost gdm-binary[2198]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
localhost gdm-binary[2212]: Gtk-WARNING: Ignoring the separator setting
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2213]: Gtk-WARNING: Ignoring the separator setting

こんな感じ　ばぐ太なのか権限が足りないのかｳｰﾑ

続く
665 名前：login:Penguin [2007/12/15(土) 16:15:33 ID:1GRMYg0A]: 　　　┌─‐‐─┐　　みなさんは２ちゃんねるの初心者ですか？書き込む前に
　　　|_____________|　　SG(セキュリティー・ガード)に登録しないと自作自演がバレてしまいますよ。
　　 ='========='== SGに登録せずに書き込んだ場合、あなたのパソコン内の
　　　/ ＼　　／│　情報は他人に見られていると考えてほぼ間違いないでしょう。
　 ┌|-（・）-（・）-|┐ 自作自演がばれる方の多くはこの登録を怠っています。
　 └| 　　〇　 .|┘ 初期の頃から２ちゃんねるにいる方達は、ほとんどの方が
　　 |　___ |||||__　|　　このBBSのコマンドの仕組みを知っています。ですから簡単に
　　 |　＼＿＿/ |　　あなたのIPアドレス等を抜き取り自作自演を見破ってしまいます。
　　　| 　　||||| 　 |　　このコマンドの方法は決して教えないというのが初期の頃から
　　　　　　　　　　　　２ちゃんねるにいる方達の間で暗黙の了解となっていましたが、
あまりの被害の多さに心を痛めた私はあえて公開することにしました。
SGしておけばまず抜かれるコマンド自体が無効になってしまうのでどんなにスキルが
ある人でもIPアドレスを抜くことが不可能になります。SGに登録する方法は、
名前欄に「 fusianasan 」と入れて書き込みする。これだけでSGの登録は完了します。
一度登録すれば、Cokkieの設定をOFFにしない限り継続されます。
fusianasanは、正式にはフュージャネイザン、又はフュジャネイザンと読みます。
元々はアメリカの学生達の間で、チャットの時にセキュリティを強化する為に
開発されたシステムです。これを行うことにより同一人物が書き込んでいるか
どうか判別する手段が遮断されるので安心です。ぜひ書き込む前には
名前蘭にfusianasanと入力してください。自分の身は自分で守りましょう
666 名前：デムパゆんゆん [2007/12/15(土) 16:29:35 ID:gceWszq3]: あとはTOMOYOでこんなﾛｸﾞが
localhost kernel: TOMOYO-WARNING: Domain '<kernel> /sbin/init /etc/X11/prefdm /usr/sbin/gdm
/usr/sbin/gdm-binary /etc/X11/xinit/Xsession　/bin/bash /usr/bin/ssh-agent　/usr/bin/dbus-launch
/etc/X11/xinit/Xclients /usr/bin/gnome-session /usr/bin/gnome-panel
/usr/bin/gnome-terminal /bin/bash /usr/bin/yum'
has so many ACLs to hold. Stopped learning mode.

selinuxとTOMOYO両方使いたいのぅ　気分的に使うIDS減るｵｶﾝ　運用は地獄でつ

上官殿!!!　不本意な成績で申し訳ありません　自分の不遜にあります
以上、台湾航空隊第二攻撃隊のラバウル航空戦の戦績を報告するでありますっ!!!
667 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 17:42:10 ID:h9rQF8ZE]: Q. 結局のところ何が問題か説明せよ（長すぎてわからないぞ）
Q. 「問題」は(a) SELinuxの問題、(b) TOMOYO Linuxの問題、(c) 切り分けできていないのどれになるか？
　（TOMOYOに関係なく発生するならまずselinux-usersに質問するのが吉だ）
668 名前：デムパゆんゆん [2007/12/15(土) 18:55:14 ID:gceWszq3]: Ａ、(a) SELinuxの問題
ｳﾘはﾈﾀ投下のつもりでやってるﾆﾀﾞよ
ﾈﾀにならないなら投下しないﾆﾀﾞ
うわぁ～ん
669 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 19:42:50 ID:h9rQF8ZE]: >>668
ﾈﾀ投下ですか。それは失礼しますた。ﾈﾀは自由に投下ください。
TOMOYOの話題限定でなくても良いのですが、早く解決するには
SELinuxのほうに聞いたらと思ったのでした。

yumは特別な事情というか理由がなければ学習させなければ
良いと思います。（でもこれもﾈﾀか？）
670 名前：login:Penguin mailto:sage [2007/12/26(水) 01:38:13 ID:r4ypI5fU]: Vineが4.2へ。
一応Kernelが2.6.16-0vl76.27に切り替わっているけど既存の2.6.16-0vl76.3用パッチファイルで問題なくTOMOYO仕込んで再構築完了。
まぁ…マイナーアップなのである意味当然な結果になりましたが…。
671 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/27(木) 07:40:40 ID:SXWTylVx]: TOMOYO Linuxのディストリビューション対応状況2007.12.25版です。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-dev/2007-December/000749.html

添付されていたExcelをGoogle Spreadsheetsで公開してみました。
ttp://spreadsheets.google.com/ccc?key=p5SYVEC0jPMO_UUm1hsvQWQ#
672 名前：login:Penguin mailto:sage [2007/12/28(金) 01:37:38 ID:tdQ5au30]: ccs-toolsをコンパイルするにあたり、必須な物って何がありますか？
当方Debian（Etch/Lenny）を使っているのですが、make中に大量のWarningを吐き出してしまいます。
一応、Errorは吐き出さないので成功…なのかもしれませんが、ちと気になります。
以前までVinelinux4.1を使っていたのですが、その時はWarningは吐かなかったので…。

make -C ccstools/ all
make: Entering directory `/root/ccstools'
gcc -Wall -O2 -o ccstools ccstools.src/*.c -lncurses -DCOLOR_ON
ccstools.src/ccstools.c: In function 'IsDomainDef':
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of '__builtin_strcmp' differ in signedness

(中略）

timeauth.c:272: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
timeauth.c:274: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
gcc -Wall -O2 -o falsh falsh.c -lncurses -lreadline
make: Leaving directory `/root/ccstools'

Debian自体は最小構成でインストールしているのでほとんど余計（必須）な物が入っておりません。
取りあえず

make
libncurses5-dev
libreadline5-dev

は入れております。
673 名前：LiveCDの中の人 mailto:sage [2007/12/29(土) 03:31:21 ID:i64ao+JI]: >>672
結論から言うと、このwarningは無害です。
警告を消すには、Makefileの35行目のコメントアウトを解除して、
37行目をコメントアウトしてください。
Vineで出ずにEtch/Lennyで出る、というのは、
Vineのgccが、この警告を表示するオプションno-pointer-signが
まだ実装されていないバージョンのためです。

TOMOYOの内部では文字列をunsigned charポインタで表現していますが、
strlenなどの関数が受け取り方がただのcharポインタであることが原因です。
674 名前：login:Penguin mailto:sage [2007/12/29(土) 09:11:51 ID:S76xHoyg]: >>673
文字コードに依存した処理（文字コードに子息演算とか）をしなければ、charで事足りると思うのですが、
敢えてucharな理由はなんですか？
675 名前：login:Penguin [2007/12/29(土) 15:07:37 ID:hCsJ400H]: >>674

TOMOYO ではエンコーディングは考慮しません。
全ての文字列を ASCII printable な文字だけで構成します。
そのため、 ASCII printable ではない範囲のバイト
（ 0x01 ～ 0x20 および 0x7F ～ 0xFF ）については
\ooo という８進数で表記します。
この４バイトで表記される８進数データと１バイトで表記されるバイナリデータとを
相互変換する際にビット演算が必要になるので、毎度 signed か unsigned かを
考慮するのが面倒という理由から、最初から unsigned で扱うようにしています。
また、 ASCII printable でないことを検査する際に
1 以上 32 以下または 127 以上 255 以下と表記する方が
-128 以上 -1 以下または 1 以上 32 以下または 127 と表記するよりも
理解しやすいと考えています。
技術的には必要に応じて unsigned char にキャストすれば可能です。
676 名前：login:Penguin mailto:sage [2007/12/30(日) 00:52:55 ID:ekUClILt]: >>673
Thxです。
677 名前：login:Penguin mailto:sage [2007/12/30(日) 04:09:27 ID:LWrRAHuk]: 英語と日本語で両方ある場合は、相互に対応するページ、最低トップには
リンク貼っといた方が良いかもです。
検索とかで飛んできた人もいるので。
678 名前：login:Penguin mailto:sage [2008/01/07(月) 12:00:43 ID:6LLk5psJ]: CONFIG_XXXX
のXXXXは機能を意味する英語であって、コードネームであっては
ならんと思うんだが、どうよ？
679 名前：login:Penguin mailto:sage [2008/01/07(月) 20:00:13 ID:/JVv+gmI]: そいや今更だけどDebian LinnyのパッケージにTOMOYOﾀﾝが入っているね。
ただDebianのポリシーそのままに行くと1.5.x→1.6.xとかの変更が推奨されたときもパッケージに入らない気がするけどその辺りどうなんでしょ？
記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。
680 名前：login:Penguin mailto:sage [2008/01/07(月) 22:35:29 ID:kortU+/c]: >>679
> 記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。

stable はそうです。
681 名前：login:Penguin mailto:sage [2008/01/07(月) 22:43:32 ID:kortU+/c]: より正確に言うと stable になった場合は、基本的には security fix のみで、
それ以外は機能的に大きく問題になるような（機能しなくなるような）点に関する
修正だけが協議の上で入れられる状態です。

ま、新しいの追いかけたい人は unstable 使うでしょうからあまり気にすることも
ないでしょう。
682 名前：login:Penguin mailto:sage [2008/01/17(木) 05:20:31 ID:V/IoaRhx]: なんだ、まだNAGATO linuxに改名してないのかよ
683 名前：login:Penguin mailto:sage [2008/01/17(木) 08:22:12 ID:SV+g1jpN]: >>682
アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ？

そんだけではアレなので。
MACに興味あるので古いPen!! BXマシンのDebian Woody(ぉぃ)な内部用自宅鯖をOS含め入れ替える序に使ってみようとプラン立ててます。
思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
運用モードである日あるアプリがエラーで落ちたときにログを書き出そうとしたりアラートプログラムを起動させようとしても事前に学習させてなければTOMOYOに妨害されるという可能性。
護るという点ではそれは正しい挙動なのだけど、なかなかポリシーを作るってのは難しいですね・・・
幸いLinuxで動かすアプリは大抵オープンソースだから追いかけるのも不可能ではないのが幸せな所かも。
TOMOYOにもSELinuxみたいな出来合いポリシーまでは行かないですが、
「Apache動かすならココ許可し忘れに注意ね。」みたいな指南があると楽なんだろうなぁとも。
684 名前：login:Penguin mailto:sage [2008/01/17(木) 08:29:07 ID:SV+g1jpN]: ま、単にWindowsメインで暮らしてLinuxを少し触れるだけのプログラムやハックが趣味な人の戯言やチラシ裏と流して頂ければと。
学習モードで眺めるのがなんとなくFilemonやProcess Monitorとかと感覚的に似てそうだなぁとニヤニヤしてます。
Filemon ttp://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
Process Monitor ttp://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Windowsアプリは未だにアクセス権に対してテキトーな物が多いのが悲しい事ですたい。
この間もUsersで動かすと落ちるとかいうのを調べたら権限のない場所に書き込もうとして失敗したのに次のステップを強行してぬるぽで落ちてる始末。
みんなAdministrator(root)だった頃の癖が抜けてないプログラマー(というよりSEさん)が多い様で。
Linuxアプリは歴史的に有る程度考えて組まれてるみたいですけど物によっては同じ状況もあるのかなー？
ちゃんとやってればVistaのUACもそう大騒ぎする事でもない、UAC有効で問題ない状況だったはずなのになー

あれだ、キモイパソオタでしかもドザでさーせん。風邪で脳に蛆がわいてるみたい。
就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
出席足りなくてヤバイですよ。機械の体が欲しいです切実に。螺子になるのは嫌だけど。
スルーしてちょ。ただ、TOMOYOをみんなに運用しようと思ったらポリシーを網羅するのは大変だろうなと。
TOMOYOの良いところは俺のドキュメントは俺がKDEから起動したOOoからしか読み書きさせねー、
Apacheから来たアクセスははじいちゃるなんてのがファイルシステムのアクセス権に関係な実現できそうな事ですねー
685 名前：デムパゆんゆん [2008/01/18(金) 20:24:15 ID:5cuexXpF]: おはぎゃぁぁぁ～
＞アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
＞萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ？
今まではTCPmon　squrd トリップワイヤ　とかいろいろ使ってあれこれ試行錯誤
あれ？　どうしてレスしてしまったのか
管理する人間にしてみればＴＯＭＯＹＯが出て随分楽になるのでふぁ
＞思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
自分も前おんなじ様なこと書いたような気が駿河
ＴＯＭＯＹＯﾀﾝ思考停止はい神崎
apache スクリプトでＴＯＭＯＹＯログ監視してストポみたいなエラーでたら
携帯にメイル発信するとか
んで、ＳＳＨでリモートからあぱちぇ再起動　ｳﾏｰ
そしたならば、うちに帰ってから再学習させればよかっぺ

ｦﾚ様って頭いい～とか自画自賛してみるが、
その昔日経コンピューターで特集やってたのを言ってみただけだｗｗｗｗｗ
採用してた会社は遠い記憶で東京三菱うふぁじゃぁ銀行
それでふぁ失礼したいのでつが　その前におちっこ

>>684
＞就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
せんせ～の足にしがみついて、だた様ﾏﾝｾ～　ダタ様ﾏﾝｾ～
と、叫んでみると　あら不思議　目の前にまっさらの履歴書があるわけです。
ストーカーチックでつね　名前も貞子に
あれ　ディスプレイの電源が入ってる・・・・・・・。
風でなくても脳が沸いてるｦﾚなんですが
すかしっぺ
686 名前：login:Penguin mailto:sage [2008/01/18(金) 20:37:47 ID:l92/rN1X]: >>685
結果をその場で予め決められたとおりに下すんじゃなくてデスクトップ用途で使うならアラートダイアログが出て
「ともよちゃんがさくらちゃんを着せ替えしようとしてるけど、実行してよかと？だめと？　<<やー>> <ないん>後10秒...」みたいなモードがあると面白そ
687 名前：login:Penguin mailto:sage [2008/01/18(金) 22:07:32 ID:BvMIQ0O1]: 外部アプリケーションへのフック機能か。
セキュリティ的になんか心配な気はするけども。
688 名前：login:Penguin [2008/01/19(土) 13:42:03 ID:HMoPyc1e]: >>682

　改名はありません。
　ttp://I-love.SAKURA.ne.jp/tomoyo/

>>683

　ある程度ユーザが増えてくればユーザ間でのノウハウ流通が増えてくると思うのですが、
　最初は難しいので、ソフトウェアの開発元さんにお願いしたいところです。

>>684

　TOMOYO Linux は「情報の伝搬」（情報フロー）を監視／制限するモデルではなく
　「アクセス要求の連鎖」を監視／制限するモデルですから、
　Filemon や Process Monitor とかと似ているでしょうね。

>>685

　/etc/crontab または専用デーモンを使って、 /var/log/tomoyo/reject_log.txt に変更が
　あった場合に携帯にメールを送るということならできるでしょう。
689 名前：login:Penguin [2008/01/19(土) 13:43:19 ID:HMoPyc1e]: >>686

　何故にドイツ語？（笑）

　デスクトップにダイアログを表示するプログラムは無いけれど、
　ポリシーで許可されていない要求をその場で却下するのではなく
　管理者の判断を仰ぐようにするモードはバージョン 1.1.1 以降で使えます。
　この機能を使えば、例えば３分間を限度に管理者が応答するまで保留させるといったことも実現可能です。

　管理者とポリシー違反監視デーモンの双方からアクセス可能なプライベート領域を用意できれば、
　「サービスがポリシーで許可されていない振る舞いを要求」→「カーネルが要求を保留」→
　「ポリシー違反監視デーモンが要求内容をプライベート領域に書き込み後、ユーザに注意喚起」→
　「ユーザがプライベート領域の内容を見て諾否をその領域に返答」→
　「ポリシー違反監視デーモンがその領域に書き込まれた返答を見てカーネルに伝達」→
　「カーネルが返答に従って処理を行う」という流れを踏むことで
　対話的にポリシー違反を処理することができます。
　コンソールやターミナルからこの処理を行うのが ccs-queryd というプログラムです。

　問題は、 Linux サーバだと Windows みたいに常にデスクトップ画面が使えるとは限らないので、
　通知のためにメール等の手段を必要とすることと、公開Ｗｅｂサーバやｓｓｈのように
　ファイアウォールで遮断されないサービスの手助けを借りる必要がある点ですね。
690 名前：login:Penguin [2008/01/19(土) 23:57:04 ID:HMoPyc1e]: >>685
>>689

　よくよく考えてみると、通知して保留する部分だけなら簡単なのでちょっと作ってみました。

　ttp://svn.sourceforge.jp/cgi-bin/viewcvs.cgi/*checkout*/trunk/1.6.x/ccs-tools/ccstools/ccstools.src/ccs-notifyd.c?root=tomoyo

　これを gcc -Wall -O3 -o ccs-notifyd ccs-notifyd.c でコンパイル後、
プロファイルの ALLOW_ENFORCE_GRACE=1 に設定した上で
ccs-notifyd 0 'mail メールアドレス' のように実行すると、
強制モードで発生した最初のポリシー違反をタイムリーに教えてくれます。
判断保留中にログインして ccs-queryd で返答するつもりなら
待ち時間を 0 ではない値（ 180 秒くらいが妥当？）に設定してください。
691 名前：login:Penguin mailto:sage [2008/01/20(日) 21:02:11 ID:vK+YBZs+]: >>683
＞アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。

バックの組織のことも考えてKOIZUMI Linuxでいいじゃん。
692 名前：login:Penguin mailto:sage [2008/01/21(月) 02:40:10 ID:XBGn53n5]: 智代 After Linuxつくってくれ
693 名前：デムパゆんゆん [2008/01/21(月) 17:51:06 ID:rFx7dDpJ]: >>686
例外処理やprintfで出力出してるとこ
変えればよさそうだ。　うん

あれだな　本家にはとても入れらないだ？なので野良ビルド
どこかうｐ出来そうなとこはないものか、と
夜の校舎窓ガラス壊してまわった

>>690
最近ＢＳＤ入れたボッチャマに犬をもう一度入れろという天のお告げでつね。
こわひのでただ今から入れなおすことを前提に
前向きな検討をしたいと重いまつ。
きになったのはgcc -03 でエラーでないでつか？
スタンダードに-02のほうがよさげな気が始末書
待ち時間　メールだとすぐには届かないかも試練
webmin hinemosみたいな統合管理ツールで監視して
電話発信でワン切り５回なんかも考えた。
駄菓子菓子、１８０秒とか待ち時間過ぎても
リモート接続できないとき
拒否にして　家に帰ってガリガリと修正すればいいだけか。
でわ、海に潜る
694 名前：login:Penguin mailto:sage [2008/01/24(木) 22:36:43 ID:+xCTxMjN]: TOMOYO de BSDを所望しよう！
Trusted BSDは使い様が今一把握できんorz

それはさておき、1.6.xに向かってまっしぐらのようだけどポリシのパーミッション表記方法が変わると既存のポリシに影響出そうで怖いのぉ。
きちんと既存ポリシは引き継げるのじゃろか。
695 名前：login:Penguin [2008/01/25(金) 06:42:30 ID:S3Tv4eYT]: >>694

キーワードを以下のように変更するだけなので、 1.5.x で作成したポリシーを 1.6.x で読むことができるようになっています。（逆はできません。）

1 -> allow_execute
2 -> allow_write
3 -> allow_execute と allow_write
4 -> allow_read
5 -> allow_execute と allow_read
6 -> allow_read/write
7 -> allow_execute と allow_read/write
696 名前：login:Penguin mailto:sage [2008/01/25(金) 23:34:30 ID:Y8TQ/mNy]: >>695
ふむふむ、安心したとですたい。
個人的には現行のままかrwx方式の方が分かりやすい気もしますが。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef