TOMOYO Linux

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/09 18:21 / Filesize : 339 KB / Number-of Response : 913
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

TOMOYO Linux

1 名前：login:Penguin [2006/07/07(金) 16:28:14 ID:+/HOu7cX]: 向こうはスレッド名がよくないのとＣＣさくらヲタしか集まってこないのでフォークした。
重複ではないと思っている。

TOMOYO Linux プロジェクト
tomoyo.sourceforge.jp/ja/doc/index.html
617 名前：login:Penguin mailto:sage [2007/11/29(木) 11:38:10 ID:ZTQjLxRL]: ↑これはある意味正しいね
SELinuxはアメリカ政府、軍事を守るための技術
使いやすさを優先してたら生命の危機に関わる
618 名前：login:Penguin mailto:sage [2007/11/29(木) 15:06:57 ID:mGzdZ1hQ]: 正論すぎて泣いた
619 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/29(木) 18:25:04 ID:uxwmlobe]: PacSec終わりますた。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2007-November/000309.html
620 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/11/29(木) 18:29:03 ID:uxwmlobe]: >>610
「名前」で騒ぐ人は多いのですが、"TOMOYO"である意味がわかっている人は
少なくて、それをいつも残念に思っていました。
621 名前：login:Penguin mailto:sage [2007/12/01(土) 10:37:59 ID:EHGz1Vat]: >>620
TOMITAKE Linux
でもいいってことだよ
622 名前：login:Penguin mailto:sage [2007/12/01(土) 13:21:22 ID:alin/Y65]: 批判じゃないです。

古典文学(古典SFや古典ファンタジーを含む)からの引用は容易に受け入れられています。
なぜか。

近代文学からの引用というのは、敬遠されガチな気がします。
なぜか。
さらに近代のテレビ番組とジャンルが偏っていくと
その傾向が強くなるのではないでしょうか。

印象が強いものより無味無臭に近いものが無難という
ただの偏見だと思いますが、根強い擦り込みがあるのでしょうね。
それを気に止めないのは頼もしいと思います。

それがマーケティング的にプラスになるのかマイナスになるのか
ハラハラしつつ見守る無駄に小心者な部外者がわたしです。

便利なものに仕上ればいいなぁと思っているからこそ。
623 名前：login:Penguin mailto:sage [2007/12/01(土) 13:40:07 ID:EHGz1Vat]: 古典SFっていつごろを指すの？
ウェルズくらいまで？クラークとかは近代扱いでおｋ？
624 名前：login:Penguin mailto:sage [2007/12/01(土) 14:32:18 ID:alin/Y65]: >>621-623
~~~~~~~~~~~
↑こういうのを無視して技術的な話を続けてください。
相手の思うつぼなので。

ノシ
625 名前：login:Penguin mailto:sage [2007/12/01(土) 17:09:32 ID:EHGz1Vat]: >>624
振ってきたのは>>620だろ・・・
626 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/01(土) 18:04:23 ID:YI4Lfj9H]: スマソ
627 名前：デムパゆんゆん [2007/12/01(土) 23:35:19 ID:qc41z5Cq]: 怒られたw
628 名前：login:Penguin mailto:sage [2007/12/05(水) 11:15:17 ID:CA9y6kMb]: ほえー
629 名前：login:Penguin mailto:sage [2007/12/05(水) 20:54:48 ID:Nsoz8sT6]: 1.5.2が出ているね。
いつも通りVineで無事再構築終了。
自分の環境に今回の修正はあんまり影響なさそうだったけど気分的に常に最新版を（→これで他の事でもよく地雷踏んでるが）。

マイナーアップみたいなので左程問題が発生するとは思えないですが、取りあえずリリースされたらされたで公式ページにその情報は出して欲しいなぁ…と少々希望。
ところで…/usr/sbinにもccsツールが入るようになっているようですが何か事情があったのでしょうか。
630 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/05(水) 23:23:47 ID:/OndcmTF]: >>629
リリースについては、歴史的な経緯により以下の順で行っています。
1. tomoyo-users mlへの投稿 by 熊猫
2a. はてなキーワードへの追加 by 中野
2b. SourceForge.jpのプロジェクトニュースへの掲載 by 中野
3. LXRの更新 by 中野

もっとも早く、もっとも情報量が多いのが1で、2aや2bは1の内容を
それぞれの場に適したものに編集してから掲載しており、2bを先に書いて
2aではそれをポイントしていることがありますが、そのあたりは
やはり1の内容によりその都度判断しています。1を熊猫さんが行っているのは、
「より詳しい情報をロスなく早く提供する」という考え方と理解下さい。
ということでちょっと他のプロジェクトとは違うかもしれませんが、
ユーザや開発者の方には是非tomoyo-usersを購読いただきたいと思っています。

mlの過去のアーカイブを見ると1について、午前0時に行われていることが
わかりますが、これは社内リリース手続きの完了を待って行って
いたためです。ターボさんでの採用やディストロ対応を行ってくださる方の
ために上記に加えて事前予告を始めました。
631 名前：login:Penguin mailto:sage [2007/12/05(水) 23:39:23 ID:1q9gnTlu]: >>630
何故 devel へは告知しないの？
632 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/05(水) 23:40:32 ID:/OndcmTF]: >>631
プロジェクトの中では「develの人はusersは読んでいる」と思っているからです。
633 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/06(木) 00:03:46 ID:WbWUOs9u]: >>629
今回のリリースで、/usr/sbin/の下にシンボリックリンクを置くことにしたきっかけは
/usr/lib/ccs/の下に実行可能ファイルを置くのはtomoyo-devで
FHS (Filesystem Hierarchy Standard)として好ましくないという指摘が
あったことがきっかけです。

これから全く新規に提供するものであれば最初からFHS準拠にするのですが、
/usr/lib/ccsの下に置かれたファイルの場所を変更するとmanager.confや
既存のポリシーに影響してしまうため、このような形態を選択しました。
真の解決ではないので、どこかのタイミングで整理したいと思っています。

また、オンラインマニュアル作成の際にSELinuxとのコマンド名重複が
発見されたので/usr/sbin/配下ではccs-という接頭辞を追加しました。
634 名前：デムパゆんゆん [2007/12/08(土) 21:54:36 ID:sHGmKago]: init_policy.shもう一度やり直すとき、
/etc/ccs以下を削除すればいいﾆｶ？
ISP全面規制だ
ｱｲｺﾞｰ
635 名前：login:Penguin mailto:sage [2007/12/09(日) 00:07:15 ID:fw91IWD0]: /etc/ccsをバックアップ取って実行してみるニダ。
大丈夫なはずだが駄目だったら時空太閤HIODEHOSHIのせいにすれば良いニダ。

/etc/ccs/profile.confを弄っているなら…
xargs -0 setlevel < /etc/ccs/profile.conf
をしておいた方が良いニカ？
636 名前：login:Penguin [2007/12/09(日) 03:26:02 ID:awIRvzBx]: いつのまにこんなに盛況なスレに！

で、メインラインに入ったんですか？

忙しくて今年一杯は何もできない者より
637 名前：デムパゆんゆん [2007/12/09(日) 11:51:49 ID:mvxahewm]: >>635
時は遅し　ｱｲｺﾞ～
rm -rf /etc/ccs
ｗｗｗ

less init=policy.sh したら
最後の数行でディレクトリ掘ってたからとりあえずフォルダ削除したﾆﾀﾞよ
やっとfedora 8で動いた　あぁ感無量
selinuxと共存させているがインスコが面倒過ぎる以外は特になんもない
seeditでポリシをさわってﾆﾔﾆﾔ　tail /var/log/tomoyo/reject_log.txtみてﾆﾔﾆﾔ
FreeBSDでﾙｰﾀの話はどうなったか・・・。
7.0BETA3はインスコできなかった　BETA4で試す気力がない
そんなわけで、いぢけて犬に戻ってきたでがんす　ﾜﾝ
638 名前：login:Penguin mailto:sage [2007/12/10(月) 01:08:30 ID:XfaDvWiE]: >>637
FreeBSD7.xでルータ化ニカ？
素直に6.3出るのを待って6Stableで使った方が良さ気ニダ（5系統は微妙）。
TOMOYO BSDでも出れば使いたいニダ。

それにしてもSDにあったSSHログイン時の小技は良いニダよ。
/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上でログイン後に認証取らないとなーんにもできないようにしてやったニダ。
個人鯖なら認証の回数はやりたい放題なのが気に入ったニダ。

外部野ざらしは怖い怖い。
639 名前：デムパゆんゆん [2007/12/10(月) 11:09:53 ID:weSbgjCG]: >>638
もぱようござる
ﾌﾘBSD7.0のzfs使ってみたかったﾆﾀﾞよ
最初からzfsぢゃないんだな（泣　新しいのでないとｲﾔﾀﾞｲﾔﾀﾞ

address eth0とかtun0とかinterfaceで指定出来ないかのぅ？
wanだとダイナミックDNSとか使ったときアドレス変わるから繋がらなくなりそうな
ｵｶﾝ時々僕とｵﾄﾝ　こういう使い方がよくないのかしらん
setprofile -r 3 "<kernel>"selinuxもenforceにすると強烈でつ
シャットダウンできましぇんｗｗｗ
ファイルシステム　”/”以下全部制御したい気分

＞/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上で
＞ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
保護するの/usr/sbin/sshdだけでいいﾆｶ？
接続はwan→lan　lan→lanへ別の端末？
wanからのsshはやっぱりポートを開けねばならぬのぅ
VPNにしてwan0に仮想的にプライベートアドレスを割り当てられるのだらうか
sshの小ネタ集　SDのバックナンバー買ってくる　ﾑﾑﾑ
CTUみたく衛星回線でスクランブル発信で自動的にポートが開けられるとか　ﾌﾌﾌ
640 名前：login:Penguin mailto:sage [2007/12/10(月) 22:09:35 ID:XfaDvWiE]: >>639
SSH小ネタ集…というか、ログインセッションネタはSDの10と11月号ニダ。
けっしてウリはSD編集部の回し者ではないニダ。

ちなみにウリの環境は[WAN側]-[ルータ]-[LAN配下のPC]ニダ
ssh踏み台用サーバとMailとWeb用のサーバがあるけどMailとWeb鯖のsshポートは/usr/sbin/sshを固めた踏み台用PCしかログインできないようにしているでつ。
MailとWebもTOMOYOで固めているでつが、今のところ不都合なく半年以上またーりと運用できているニダ。

楽を覚えてしまうと他の事を覚えるのが面倒になってしまうのはきっと日帝の陰謀ニダ！
641 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:36:14 ID:lunSW/hp]: 明日、SDの編集さんと会うニダ。
来年の連載をどうするか話し合うニダ。
月刊誌の連載はつらいものがあるので、役に立たないなら遠慮したかったりするニダ。
意見、希望、コメント、その他あれば参考にするニダ。
ニダって何のことかわからないニダ。
642 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:41:48 ID:lunSW/hp]: >>636
メインラインにはいってたらここにも報告しているニダ。
Smackはmmツリーに入ったけれど、パス名ベースの
AAとTOMOYOは「よくわからない状態」になってしまっているニダ。
SELinuxチームにはいじめられなくなったけれど、
押してくれる人もいないし、誰が決めるかよくわからない変な状態ニダ。
LSMの見直しとか議論が始まってさらに謎は謎を呼んでいるニダ。

この状況を打開し、巨大な陰○と戦うべく近日再び動くニダ。
643 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:47:11 ID:lunSW/hp]: ttp://packages.debian.org/search?keywords=tomoyo&searchon=names&suite=all§ion=all

> 新しいパッケージポリシー対応作業などもするので、アップデートは
> もう少し後になります。
とのこと。感謝感謝。(_ _)
644 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:53:56 ID:lunSW/hp]: 11/29でPacSecで講演しました。資料は既にSF.jpで公開しています。
はてなからたどるのが簡単ニダ。
d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099

12/12にThinkITにレポートが掲載されます。
次のTOMOYO的なイベントは、1月末のITexpoでの展示です。

ネットワークセキュリティExpert 7も発売になったようです。
日経Linux最新号では、CELFの方によるメインライン特集ありなのでそちらも要チェック。
ttp://itpro.nikkeibp.co.jp/article/MAG/20071204/288654/
645 名前：デムパゆんゆん [2007/12/11(火) 00:04:38 ID:3zCF9GCJ]: >>640
ややこしいことしてまつね
同じ構成どこかの記事になってたような
探してみるか。
ttp://www.tamanegiya.com/nida-2.html
SDの連載毎回担当決めて持ち回りでやるのふぁ？
一人にかかる負担が減るとｵﾓ
ちょっと前LKMLざっと見た印象
ずっと熊猫せんせ～とLSM担当のトロンドせんせ～が平行線な感じ
ttp://lkml.org/lkml/2007/11/16/410
LKML読んでselinuxのステファンだったか
そもそもLSMがあんまり気に入らないみたいな印象だった
LSMつかってセキュリチーモヂュール作ってるのｦﾚらだけぢゃん？みたいな
ぢゃぁLSM仕様変えるとか、そもそもいらんのちゃう？と遠回しに言っているような気がした。
言い方が悪くlinuxを支配しようとするNSAの陰謀だ!!!みたくなって
つーかトロンドﾀﾝも相当偏屈だｗ　他の人にもｲﾗﾈの一言だ　ｳｰﾑ
646 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/11(火) 00:05:05 ID:lunSW/hp]: 12/21のCELF Jamboreeは要チェック。
ttp://tree.celinuxforum.org/CelfPubWiki/JapanTechnicalJamboree18
647 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:20:35 ID:AFvxJNeo]: >>635
＞xargs -0 setlevel < /etc/ccs/profile.conf
1.5.x なら
loadpolicy p
または
cat /etc/ccs/profile.conf | loadpolicy -p
でもＯＫ。（ p は profile.conf の p 、 m は manager.conf の m ね。）
setlevel は loadpolicy で代用可能、 setprofile は editpolicy で代用可能。
648 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:21:11 ID:AFvxJNeo]: >>638
＞ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
この手法はシェルを起動する場合にのみ適用可能な点に注意してくださいね。
ポート転送の場合にはシェルを起動する必要がないので、
MAC_FOR_NETWORK も併用して制限してやらないと
自由に ssh -L や ssh -R によるアクセスができてしまいます。
649 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:21:41 ID:AFvxJNeo]: >>639
＞address eth0とかtun0とかinterfaceで指定出来ないかのぅ？
インタフェースでの指定はサポートしていませんが、
address_group eth0 192.168.0.1 のような方法で exception_policy.conf に記述しておけば、
allow_network TCP bind @eth0 22 みたいに domain_policy.conf で指定できます。
あとは、ＩＰアドレスが変化したら address_group eth0 を更新するスクリプトを走らせば
動的に変化しても対処でき・・・るかな？スクリプトの内容は
echo address_group eth0 新しいアドレス | loadpolicy -e
echo delete address_group eth0 古いアドレス | loadpolicy -e
てな調子です。
650 名前：デムパゆんゆん [2007/12/12(水) 20:49:24 ID:1GwRrgco]: >>649
さんクスコ
適当にグループ名つけて分けられるんだにゃ
iptableみたいだ
マニュアル読んでて混乱してきた　ｳｰﾑ
メモ代わりにブログでも書くか
＞ニダって何のことかわからないニダ。
朝鮮語の皮肉
文末に～ニダ　～ﾆｶ？　感嘆詞　ｱｲｺﾞ～　とかetc
ちなみにセキュリティーexpoert　part7読んだ　ｳﾑ
651 名前：デムパゆんゆん [2007/12/12(水) 21:07:08 ID:1GwRrgco]: 忘れてた
来年のＳＤ連載どうなるでつか？
とりあえず今年の１－１２月号が聖典に～
御布施するぞお伏せするぞ
だんだん特アすれみたくなってきたな　まともな人間モードにしよう
652 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:02:12 ID:sQVncvfj]: >>648
あ、言い忘れました。
MAC_FOR_NETWORK を使わずとも OpenSSH の設定（ /etc/ssh/sshd_config ）で
ユーザ名やグループ名に基づくポート転送の制限を行うことが可能です。
詳細は ttp://www.oreilly.co.jp/books/4873112877/ の本に書かれています。
TOMOYO でも allow_network TCP connect 192.168.1.1 80 if task.uid=1000-2000 のように
ユーザＩＤやグループＩＤに基づくアクセス制限をサポートしています。
653 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:03:26 ID:sQVncvfj]: ttp://www.thinkit.co.jp/free/article/0712/9/1/
インプレスIT、やばい会社だ。
654 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:06:26 ID:sQVncvfj]: >>651
昨日、編集さんと打ち合わせますた。
来年も6回くらいの連載を書く方向で検討します。
8ページで、記事は6ページ、残りの2ページはプロジェクトのニュース、
という提案をいただきますた。

以前も書きましたが、「中の人」だけじゃなくて、この板を含めた
ユーザと一緒に執筆してみたいと思っています。丸投げではなく、
一緒に書くというイメージです。興味ある人があれば連絡ください。
655 名前：login:Penguin mailto:sage [2007/12/12(水) 23:15:12 ID:1hor2Jgk]: >>652
ふむふむ。
普段ほとんど（自分の環境では）ポート転送使っていないので頭から完全に抜け落ちておりましたですたい。
色々試してみますが、選択肢があることはよいことですね。

試して楽な方を選ぶことができるので。
656 名前：login:Penguin mailto:sage [2007/12/13(木) 00:59:17 ID:o8kOiAbC]: せんせーは、ばりばり英語が書けてすごい…。
というか、著名な開発者の方々は皆書けるんですよね…。
おれもこの前英語圏のプロジェクトにバグ修正
ってか機能追加の提案したけど一向に返事が来ない…
あまりにひどい英語だったから無視されちゃったのかなぁ (´･ω･`)
657 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:28:19 ID:B3Y4lHaA]: >>656
LKMLのTOMOYOのスレッドをたどるとわかりますが、
返事をもらえてないのは日常茶飯事です。返事をもらえなくて困るのは、
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
話すときも書くときも「これで良いのか？」を考えすぎると
何もできなくなるし、気持ちが委縮して、かえって伝わりにくくなります。
日本にきた外国人の人が片言でも言いたいことがわかるのと同じで、
「伝えたい」という気持ちをもっていれば、伝わります。
オタワでは母国語が英語でない人もたくさんいて、その人達の言葉は
やっぱりわかりにくかったのですが、でもそれでいいんです。
658 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:29:41 ID:B3Y4lHaA]: >>657 行が抜けてしまいますた

返事をもらえなくて困るのは、もらえない理由や、読んでくれたかが
わからないことです。また、メールで困るのは
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
659 名前：デムパゆんゆん [2007/12/13(木) 09:53:54 ID:Wths6Dev]: もぱようございます
インプレス　グローバルな時代にあわせろかぁ。ｗ
読むのにも１週間かかる　ｳｰﾑ
誤字脱字はにちゃんねるの文化　これでいいのだ
660 名前：login:Penguin mailto:sage [2007/12/13(木) 14:06:23 ID:CV+mmHd8]: CLANNADの智代かと思った

なんつってジョークだよ許してよ
661 名前：デムパゆんゆん [2007/12/15(土) 03:27:09 ID:gceWszq3]: ソウルで零戦に乗って、韓国国会前で着陸したら許してもらえるかもﾆﾀﾞ

最近思うのはつっこむとselinuxと余り変わらない気がするなぁ
/home　以下ユーザでログインできない　あぁ無情
gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
パッチ出たのが一昨日だっｗ
ともよﾀﾝそんなに困らさないででよん
662 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 10:24:51 ID:h9rQF8ZE]: >>661
もうちょっと詳しい情報ｷﾎﾞﾝﾇ
663 名前：デムパゆんゆん [2007/12/15(土) 15:52:47 ID:gceWszq3]: 上官殿ｯ!!!　報告するであります

鳥はF8　initは５が前提
selinuxはenforce　TOMOYOは setprofile -r 0,1,2,3 <kernel>
/home 以下ユーザでログインしたら
gdm-binary[2660]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
こんなメッセージが出る

selinuxがpermissiveだとログインできる
起動時/etc/X11/xinit/Xsessionの直前で/tmpにアクセスがあり
TOMOYO-WARNING: Access 'create /tmp/.gdmOOKP2T' denied for /usr/sbin/gdm-binary
TOMOYOがプロファイル1の時でも/tmp以下は学習はするものの
制御してるのかと思い　/tmp以下全部許可にしたりした

selinuxで/usr/sbin/gdm-binaryのアクセス権限がだめなのかと思い
現在ｸﾞｸﾞﾙ先生にご意見拝謁賜っておりまつ

続く
664 名前：デムパゆんゆん [2007/12/15(土) 16:12:09 ID:gceWszq3]: ＞gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
＞パッチ出たのが一昨日だっｗ
勘違いだった　リプライの日付でつた　selinuxも関係なさそうだあぁ無情
https://bugzilla.redhat.com/show_bug.cgi?id=379511
怒らないで　ともよﾀﾝ
鳥が鳥だけにメンテナも七転びバットウ
lists.linuxcoding.com/rhl/2007q4/msg11463.html
バグ再発
このまま茨の道を歩き続けるかselinuxをpermissiveにするか

localhost acpid: client connected from 2066[68:68]
localhost ccs-auditd: Started.
localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found
localhost pcscd:last message repeated 3 times
localhost acpid: client connected from 2168[0:0]
localhost gdm-binary[2198]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
localhost gdm-binary[2212]: Gtk-WARNING: Ignoring the separator setting
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2213]: Gtk-WARNING: Ignoring the separator setting

こんな感じ　ばぐ太なのか権限が足りないのかｳｰﾑ

続く
665 名前：login:Penguin [2007/12/15(土) 16:15:33 ID:1GRMYg0A]: 　　　┌─‐‐─┐　　みなさんは２ちゃんねるの初心者ですか？書き込む前に
　　　|_____________|　　SG(セキュリティー・ガード)に登録しないと自作自演がバレてしまいますよ。
　　 ='========='== SGに登録せずに書き込んだ場合、あなたのパソコン内の
　　　/ ＼　　／│　情報は他人に見られていると考えてほぼ間違いないでしょう。
　 ┌|-（・）-（・）-|┐ 自作自演がばれる方の多くはこの登録を怠っています。
　 └| 　　〇　 .|┘ 初期の頃から２ちゃんねるにいる方達は、ほとんどの方が
　　 |　___ |||||__　|　　このBBSのコマンドの仕組みを知っています。ですから簡単に
　　 |　＼＿＿/ |　　あなたのIPアドレス等を抜き取り自作自演を見破ってしまいます。
　　　| 　　||||| 　 |　　このコマンドの方法は決して教えないというのが初期の頃から
　　　　　　　　　　　　２ちゃんねるにいる方達の間で暗黙の了解となっていましたが、
あまりの被害の多さに心を痛めた私はあえて公開することにしました。
SGしておけばまず抜かれるコマンド自体が無効になってしまうのでどんなにスキルが
ある人でもIPアドレスを抜くことが不可能になります。SGに登録する方法は、
名前欄に「 fusianasan 」と入れて書き込みする。これだけでSGの登録は完了します。
一度登録すれば、Cokkieの設定をOFFにしない限り継続されます。
fusianasanは、正式にはフュージャネイザン、又はフュジャネイザンと読みます。
元々はアメリカの学生達の間で、チャットの時にセキュリティを強化する為に
開発されたシステムです。これを行うことにより同一人物が書き込んでいるか
どうか判別する手段が遮断されるので安心です。ぜひ書き込む前には
名前蘭にfusianasanと入力してください。自分の身は自分で守りましょう
666 名前：デムパゆんゆん [2007/12/15(土) 16:29:35 ID:gceWszq3]: あとはTOMOYOでこんなﾛｸﾞが
localhost kernel: TOMOYO-WARNING: Domain '<kernel> /sbin/init /etc/X11/prefdm /usr/sbin/gdm
/usr/sbin/gdm-binary /etc/X11/xinit/Xsession　/bin/bash /usr/bin/ssh-agent　/usr/bin/dbus-launch
/etc/X11/xinit/Xclients /usr/bin/gnome-session /usr/bin/gnome-panel
/usr/bin/gnome-terminal /bin/bash /usr/bin/yum'
has so many ACLs to hold. Stopped learning mode.

selinuxとTOMOYO両方使いたいのぅ　気分的に使うIDS減るｵｶﾝ　運用は地獄でつ

上官殿!!!　不本意な成績で申し訳ありません　自分の不遜にあります
以上、台湾航空隊第二攻撃隊のラバウル航空戦の戦績を報告するでありますっ!!!
667 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 17:42:10 ID:h9rQF8ZE]: Q. 結局のところ何が問題か説明せよ（長すぎてわからないぞ）
Q. 「問題」は(a) SELinuxの問題、(b) TOMOYO Linuxの問題、(c) 切り分けできていないのどれになるか？
　（TOMOYOに関係なく発生するならまずselinux-usersに質問するのが吉だ）
668 名前：デムパゆんゆん [2007/12/15(土) 18:55:14 ID:gceWszq3]: Ａ、(a) SELinuxの問題
ｳﾘはﾈﾀ投下のつもりでやってるﾆﾀﾞよ
ﾈﾀにならないなら投下しないﾆﾀﾞ
うわぁ～ん
669 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 19:42:50 ID:h9rQF8ZE]: >>668
ﾈﾀ投下ですか。それは失礼しますた。ﾈﾀは自由に投下ください。
TOMOYOの話題限定でなくても良いのですが、早く解決するには
SELinuxのほうに聞いたらと思ったのでした。

yumは特別な事情というか理由がなければ学習させなければ
良いと思います。（でもこれもﾈﾀか？）
670 名前：login:Penguin mailto:sage [2007/12/26(水) 01:38:13 ID:r4ypI5fU]: Vineが4.2へ。
一応Kernelが2.6.16-0vl76.27に切り替わっているけど既存の2.6.16-0vl76.3用パッチファイルで問題なくTOMOYO仕込んで再構築完了。
まぁ…マイナーアップなのである意味当然な結果になりましたが…。
671 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/27(木) 07:40:40 ID:SXWTylVx]: TOMOYO Linuxのディストリビューション対応状況2007.12.25版です。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-dev/2007-December/000749.html

添付されていたExcelをGoogle Spreadsheetsで公開してみました。
ttp://spreadsheets.google.com/ccc?key=p5SYVEC0jPMO_UUm1hsvQWQ#
672 名前：login:Penguin mailto:sage [2007/12/28(金) 01:37:38 ID:tdQ5au30]: ccs-toolsをコンパイルするにあたり、必須な物って何がありますか？
当方Debian（Etch/Lenny）を使っているのですが、make中に大量のWarningを吐き出してしまいます。
一応、Errorは吐き出さないので成功…なのかもしれませんが、ちと気になります。
以前までVinelinux4.1を使っていたのですが、その時はWarningは吐かなかったので…。

make -C ccstools/ all
make: Entering directory `/root/ccstools'
gcc -Wall -O2 -o ccstools ccstools.src/*.c -lncurses -DCOLOR_ON
ccstools.src/ccstools.c: In function 'IsDomainDef':
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of '__builtin_strcmp' differ in signedness

(中略）

timeauth.c:272: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
timeauth.c:274: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
gcc -Wall -O2 -o falsh falsh.c -lncurses -lreadline
make: Leaving directory `/root/ccstools'

Debian自体は最小構成でインストールしているのでほとんど余計（必須）な物が入っておりません。
取りあえず

make
libncurses5-dev
libreadline5-dev

は入れております。
673 名前：LiveCDの中の人 mailto:sage [2007/12/29(土) 03:31:21 ID:i64ao+JI]: >>672
結論から言うと、このwarningは無害です。
警告を消すには、Makefileの35行目のコメントアウトを解除して、
37行目をコメントアウトしてください。
Vineで出ずにEtch/Lennyで出る、というのは、
Vineのgccが、この警告を表示するオプションno-pointer-signが
まだ実装されていないバージョンのためです。

TOMOYOの内部では文字列をunsigned charポインタで表現していますが、
strlenなどの関数が受け取り方がただのcharポインタであることが原因です。
674 名前：login:Penguin mailto:sage [2007/12/29(土) 09:11:51 ID:S76xHoyg]: >>673
文字コードに依存した処理（文字コードに子息演算とか）をしなければ、charで事足りると思うのですが、
敢えてucharな理由はなんですか？
675 名前：login:Penguin [2007/12/29(土) 15:07:37 ID:hCsJ400H]: >>674

TOMOYO ではエンコーディングは考慮しません。
全ての文字列を ASCII printable な文字だけで構成します。
そのため、 ASCII printable ではない範囲のバイト
（ 0x01 ～ 0x20 および 0x7F ～ 0xFF ）については
\ooo という８進数で表記します。
この４バイトで表記される８進数データと１バイトで表記されるバイナリデータとを
相互変換する際にビット演算が必要になるので、毎度 signed か unsigned かを
考慮するのが面倒という理由から、最初から unsigned で扱うようにしています。
また、 ASCII printable でないことを検査する際に
1 以上 32 以下または 127 以上 255 以下と表記する方が
-128 以上 -1 以下または 1 以上 32 以下または 127 と表記するよりも
理解しやすいと考えています。
技術的には必要に応じて unsigned char にキャストすれば可能です。
676 名前：login:Penguin mailto:sage [2007/12/30(日) 00:52:55 ID:ekUClILt]: >>673
Thxです。
677 名前：login:Penguin mailto:sage [2007/12/30(日) 04:09:27 ID:LWrRAHuk]: 英語と日本語で両方ある場合は、相互に対応するページ、最低トップには
リンク貼っといた方が良いかもです。
検索とかで飛んできた人もいるので。
678 名前：login:Penguin mailto:sage [2008/01/07(月) 12:00:43 ID:6LLk5psJ]: CONFIG_XXXX
のXXXXは機能を意味する英語であって、コードネームであっては
ならんと思うんだが、どうよ？
679 名前：login:Penguin mailto:sage [2008/01/07(月) 20:00:13 ID:/JVv+gmI]: そいや今更だけどDebian LinnyのパッケージにTOMOYOﾀﾝが入っているね。
ただDebianのポリシーそのままに行くと1.5.x→1.6.xとかの変更が推奨されたときもパッケージに入らない気がするけどその辺りどうなんでしょ？
記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。
680 名前：login:Penguin mailto:sage [2008/01/07(月) 22:35:29 ID:kortU+/c]: >>679
> 記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。

stable はそうです。
681 名前：login:Penguin mailto:sage [2008/01/07(月) 22:43:32 ID:kortU+/c]: より正確に言うと stable になった場合は、基本的には security fix のみで、
それ以外は機能的に大きく問題になるような（機能しなくなるような）点に関する
修正だけが協議の上で入れられる状態です。

ま、新しいの追いかけたい人は unstable 使うでしょうからあまり気にすることも
ないでしょう。
682 名前：login:Penguin mailto:sage [2008/01/17(木) 05:20:31 ID:V/IoaRhx]: なんだ、まだNAGATO linuxに改名してないのかよ
683 名前：login:Penguin mailto:sage [2008/01/17(木) 08:22:12 ID:SV+g1jpN]: >>682
アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ？

そんだけではアレなので。
MACに興味あるので古いPen!! BXマシンのDebian Woody(ぉぃ)な内部用自宅鯖をOS含め入れ替える序に使ってみようとプラン立ててます。
思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
運用モードである日あるアプリがエラーで落ちたときにログを書き出そうとしたりアラートプログラムを起動させようとしても事前に学習させてなければTOMOYOに妨害されるという可能性。
護るという点ではそれは正しい挙動なのだけど、なかなかポリシーを作るってのは難しいですね・・・
幸いLinuxで動かすアプリは大抵オープンソースだから追いかけるのも不可能ではないのが幸せな所かも。
TOMOYOにもSELinuxみたいな出来合いポリシーまでは行かないですが、
「Apache動かすならココ許可し忘れに注意ね。」みたいな指南があると楽なんだろうなぁとも。
684 名前：login:Penguin mailto:sage [2008/01/17(木) 08:29:07 ID:SV+g1jpN]: ま、単にWindowsメインで暮らしてLinuxを少し触れるだけのプログラムやハックが趣味な人の戯言やチラシ裏と流して頂ければと。
学習モードで眺めるのがなんとなくFilemonやProcess Monitorとかと感覚的に似てそうだなぁとニヤニヤしてます。
Filemon ttp://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
Process Monitor ttp://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Windowsアプリは未だにアクセス権に対してテキトーな物が多いのが悲しい事ですたい。
この間もUsersで動かすと落ちるとかいうのを調べたら権限のない場所に書き込もうとして失敗したのに次のステップを強行してぬるぽで落ちてる始末。
みんなAdministrator(root)だった頃の癖が抜けてないプログラマー(というよりSEさん)が多い様で。
Linuxアプリは歴史的に有る程度考えて組まれてるみたいですけど物によっては同じ状況もあるのかなー？
ちゃんとやってればVistaのUACもそう大騒ぎする事でもない、UAC有効で問題ない状況だったはずなのになー

あれだ、キモイパソオタでしかもドザでさーせん。風邪で脳に蛆がわいてるみたい。
就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
出席足りなくてヤバイですよ。機械の体が欲しいです切実に。螺子になるのは嫌だけど。
スルーしてちょ。ただ、TOMOYOをみんなに運用しようと思ったらポリシーを網羅するのは大変だろうなと。
TOMOYOの良いところは俺のドキュメントは俺がKDEから起動したOOoからしか読み書きさせねー、
Apacheから来たアクセスははじいちゃるなんてのがファイルシステムのアクセス権に関係な実現できそうな事ですねー
685 名前：デムパゆんゆん [2008/01/18(金) 20:24:15 ID:5cuexXpF]: おはぎゃぁぁぁ～
＞アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
＞萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ？
今まではTCPmon　squrd トリップワイヤ　とかいろいろ使ってあれこれ試行錯誤
あれ？　どうしてレスしてしまったのか
管理する人間にしてみればＴＯＭＯＹＯが出て随分楽になるのでふぁ
＞思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
自分も前おんなじ様なこと書いたような気が駿河
ＴＯＭＯＹＯﾀﾝ思考停止はい神崎
apache スクリプトでＴＯＭＯＹＯログ監視してストポみたいなエラーでたら
携帯にメイル発信するとか
んで、ＳＳＨでリモートからあぱちぇ再起動　ｳﾏｰ
そしたならば、うちに帰ってから再学習させればよかっぺ

ｦﾚ様って頭いい～とか自画自賛してみるが、
その昔日経コンピューターで特集やってたのを言ってみただけだｗｗｗｗｗ
採用してた会社は遠い記憶で東京三菱うふぁじゃぁ銀行
それでふぁ失礼したいのでつが　その前におちっこ

>>684
＞就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
せんせ～の足にしがみついて、だた様ﾏﾝｾ～　ダタ様ﾏﾝｾ～
と、叫んでみると　あら不思議　目の前にまっさらの履歴書があるわけです。
ストーカーチックでつね　名前も貞子に
あれ　ディスプレイの電源が入ってる・・・・・・・。
風でなくても脳が沸いてるｦﾚなんですが
すかしっぺ
686 名前：login:Penguin mailto:sage [2008/01/18(金) 20:37:47 ID:l92/rN1X]: >>685
結果をその場で予め決められたとおりに下すんじゃなくてデスクトップ用途で使うならアラートダイアログが出て
「ともよちゃんがさくらちゃんを着せ替えしようとしてるけど、実行してよかと？だめと？　<<やー>> <ないん>後10秒...」みたいなモードがあると面白そ
687 名前：login:Penguin mailto:sage [2008/01/18(金) 22:07:32 ID:BvMIQ0O1]: 外部アプリケーションへのフック機能か。
セキュリティ的になんか心配な気はするけども。
688 名前：login:Penguin [2008/01/19(土) 13:42:03 ID:HMoPyc1e]: >>682

　改名はありません。
　ttp://I-love.SAKURA.ne.jp/tomoyo/

>>683

　ある程度ユーザが増えてくればユーザ間でのノウハウ流通が増えてくると思うのですが、
　最初は難しいので、ソフトウェアの開発元さんにお願いしたいところです。

>>684

　TOMOYO Linux は「情報の伝搬」（情報フロー）を監視／制限するモデルではなく
　「アクセス要求の連鎖」を監視／制限するモデルですから、
　Filemon や Process Monitor とかと似ているでしょうね。

>>685

　/etc/crontab または専用デーモンを使って、 /var/log/tomoyo/reject_log.txt に変更が
　あった場合に携帯にメールを送るということならできるでしょう。
689 名前：login:Penguin [2008/01/19(土) 13:43:19 ID:HMoPyc1e]: >>686

　何故にドイツ語？（笑）

　デスクトップにダイアログを表示するプログラムは無いけれど、
　ポリシーで許可されていない要求をその場で却下するのではなく
　管理者の判断を仰ぐようにするモードはバージョン 1.1.1 以降で使えます。
　この機能を使えば、例えば３分間を限度に管理者が応答するまで保留させるといったことも実現可能です。

　管理者とポリシー違反監視デーモンの双方からアクセス可能なプライベート領域を用意できれば、
　「サービスがポリシーで許可されていない振る舞いを要求」→「カーネルが要求を保留」→
　「ポリシー違反監視デーモンが要求内容をプライベート領域に書き込み後、ユーザに注意喚起」→
　「ユーザがプライベート領域の内容を見て諾否をその領域に返答」→
　「ポリシー違反監視デーモンがその領域に書き込まれた返答を見てカーネルに伝達」→
　「カーネルが返答に従って処理を行う」という流れを踏むことで
　対話的にポリシー違反を処理することができます。
　コンソールやターミナルからこの処理を行うのが ccs-queryd というプログラムです。

　問題は、 Linux サーバだと Windows みたいに常にデスクトップ画面が使えるとは限らないので、
　通知のためにメール等の手段を必要とすることと、公開Ｗｅｂサーバやｓｓｈのように
　ファイアウォールで遮断されないサービスの手助けを借りる必要がある点ですね。
690 名前：login:Penguin [2008/01/19(土) 23:57:04 ID:HMoPyc1e]: >>685
>>689

　よくよく考えてみると、通知して保留する部分だけなら簡単なのでちょっと作ってみました。

　ttp://svn.sourceforge.jp/cgi-bin/viewcvs.cgi/*checkout*/trunk/1.6.x/ccs-tools/ccstools/ccstools.src/ccs-notifyd.c?root=tomoyo

　これを gcc -Wall -O3 -o ccs-notifyd ccs-notifyd.c でコンパイル後、
プロファイルの ALLOW_ENFORCE_GRACE=1 に設定した上で
ccs-notifyd 0 'mail メールアドレス' のように実行すると、
強制モードで発生した最初のポリシー違反をタイムリーに教えてくれます。
判断保留中にログインして ccs-queryd で返答するつもりなら
待ち時間を 0 ではない値（ 180 秒くらいが妥当？）に設定してください。
691 名前：login:Penguin mailto:sage [2008/01/20(日) 21:02:11 ID:vK+YBZs+]: >>683
＞アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。

バックの組織のことも考えてKOIZUMI Linuxでいいじゃん。
692 名前：login:Penguin mailto:sage [2008/01/21(月) 02:40:10 ID:XBGn53n5]: 智代 After Linuxつくってくれ
693 名前：デムパゆんゆん [2008/01/21(月) 17:51:06 ID:rFx7dDpJ]: >>686
例外処理やprintfで出力出してるとこ
変えればよさそうだ。　うん

あれだな　本家にはとても入れらないだ？なので野良ビルド
どこかうｐ出来そうなとこはないものか、と
夜の校舎窓ガラス壊してまわった

>>690
最近ＢＳＤ入れたボッチャマに犬をもう一度入れろという天のお告げでつね。
こわひのでただ今から入れなおすことを前提に
前向きな検討をしたいと重いまつ。
きになったのはgcc -03 でエラーでないでつか？
スタンダードに-02のほうがよさげな気が始末書
待ち時間　メールだとすぐには届かないかも試練
webmin hinemosみたいな統合管理ツールで監視して
電話発信でワン切り５回なんかも考えた。
駄菓子菓子、１８０秒とか待ち時間過ぎても
リモート接続できないとき
拒否にして　家に帰ってガリガリと修正すればいいだけか。
でわ、海に潜る
694 名前：login:Penguin mailto:sage [2008/01/24(木) 22:36:43 ID:+xCTxMjN]: TOMOYO de BSDを所望しよう！
Trusted BSDは使い様が今一把握できんorz

それはさておき、1.6.xに向かってまっしぐらのようだけどポリシのパーミッション表記方法が変わると既存のポリシに影響出そうで怖いのぉ。
きちんと既存ポリシは引き継げるのじゃろか。
695 名前：login:Penguin [2008/01/25(金) 06:42:30 ID:S3Tv4eYT]: >>694

キーワードを以下のように変更するだけなので、 1.5.x で作成したポリシーを 1.6.x で読むことができるようになっています。（逆はできません。）

1 -> allow_execute
2 -> allow_write
3 -> allow_execute と allow_write
4 -> allow_read
5 -> allow_execute と allow_read
6 -> allow_read/write
7 -> allow_execute と allow_read/write
696 名前：login:Penguin mailto:sage [2008/01/25(金) 23:34:30 ID:Y8TQ/mNy]: >>695
ふむふむ、安心したとですたい。
個人的には現行のままかrwx方式の方が分かりやすい気もしますが。
697 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/02(土) 23:44:31 ID:BrD5gcHQ]: >>696

私も「現行の数値表示のまま＋コマンドラインオプションでrwx形式を追加」が
良いと思ったのですが、「特定の別名だけハードコーディングして
コマンドラインオプションという優遇措置を設定することには反対」という
ことになりました。

ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-January/thread.html

1.5.3では、下記のような環境変数を定義すれば、rwx表示に変更は可能です。
（一種sedの置換のようなイメージ）

EDITPOLICY_KEYWORD_ALIAS='1=--x:2=-w-:3=-wx:4=r--:5=r-x:6=rw-:7=rwx'
698 名前：login:Penguin mailto:sage [2008/02/04(月) 02:31:36 ID:C0+qZX6D]: >>697
orz
慣れれば馴染むのかなぁ。
慣れるまで大変そうだ。

せめて表記方法を選択できるようにすれば幸せ…かも。
699 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/04(月) 21:47:46 ID:pPdDQ2Yl]: >>698
> 慣れるまで大変そうだ。
そうですか？（笑）
ttp://tomoyo.sourceforge.jp/wiki/?plugin=attach&pcmd=open&file=editpolicy.bmp&refer=Welcome%21
> せめて表記方法を選択できるようにすれば幸せ…かも。
環境変数を定義しなければなりませんが、一応選択は可能です。
700 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/04(月) 23:08:56 ID:pPdDQ2Yl]: 1,2...7とrwxを両方表示させてみましたが、いまいち・・・。
ttp://tomoyo.sourceforge.jp/wiki/?plugin=attach&pcmd=open&file=editpolicy2.jpg&refer=Welcome%21
701 名前：デムパゆんゆん [2008/02/04(月) 23:47:54 ID:JAZlt/Xr]: いまいちなんでつが、
この際ばっさり切り捨てるとか
古い仕様が良いという抵抗勢力も出ると思いマツ
そんな時は　抵抗勢力はぶっ潰す　あひゃぁ
個人的には古いほうが良いような気もするんでつが
どっちでもいいや　だた様万歳!!!
702 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/05(火) 06:51:56 ID:fjHymLCz]: >>701
1.5.3ではポリシーの構文自体は変わっていません。
editpolicyが勝手に表示内容（見た目）を置換しているだけです。
だから1を「あひ」、2を「でつ」とかにしても良いわけでつ。
多分すでに使っている人には1,2,3...で十分なのでつが、
新しく使い始める人には、まあわかりやすいと思いマツ。
この変更が一番うれしいのは、デモの際に「4はreadで・・・」のような
説明をしなくてすむことですが、同じポリシーが環境によって
違って表示されても良いのか気になりまつ　あひゃぁ
703 名前：login:Penguin mailto:sage [2008/02/20(水) 18:36:49 ID:21MYkGk0]: TOMOYO の ML のアーカイブが gmane で読めるといいなぁ。
704 名前：デムパゆんゆん [2008/02/22(金) 00:35:14 ID:6ALFx6VR]: 偶然見かけたＯＳＣﾄﾝｷﾝ２００８の案内
ＴＯＭＯＹＯ独演会　登録しちゃると思ったら満員ﾆﾀﾞ!!!ｗｗｗ
以外だ　ＳＥ　Linuxと肩並べてるよ
日本はいよいよ制覇しつつあるのか
次は世界制覇でつね　ＮＳＡの陰毛を打ち砕く日が来るんだなッ!!!
去年のＯＳＣ関西見たく　立ち見は駄目そうなのかしらん
事務局に聞いてみるか
１０年ぶりのﾄﾝｷﾝ上京が夢と消える　あぁ花の大東京
705 名前：デムパゆんゆん [2008/02/22(金) 23:47:13 ID:6ALFx6VR]: [Tomoyo-dev 775] プログラム実行時のパラメータをチェックする機能について
[Tomoyo-dev 776] ステートフルなアクセス許可のサポートについて
なんとなく読んでみる。
allow_execute /bin/sh if exec.envp[\"HOME\"]=\"/home/\\*\"
極論を言うと/homeがシンボリックリンクなどで改ざんされいないという
性善説が大前提になるだ。
ｦﾚ様頭堅すぎるのかな?

ファースト　Tomoyo-dev 775
プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ
/etc/ccs/exception_policy.conf以下に
iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で
書くのいかがでせうか

セカンド　Tomoyo-dev 776
なんとなくわかるのでつ
ＣＧＩが増やしたプロセスの中に不正なプロセスが紛れ込んでいる
いやらしい僕ちゃんがいると　大変なことに
うーん　これも頭が固すぎるのか
最近ﾁﾝﾁﾝ固くしてないな

あぁ　せんせ～は海外逃亡中みたいでつね
お家の一大事でつ
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080222/294479/

ベルギ～ﾁｮｺ!!!　ベルギ～ﾁｮｺ!!!
706 名前：login:Penguin [2008/02/23(土) 10:50:55 ID:+5LIG1Ds]: >>705

> 極論を言うと/homeがシンボリックリンクなどで改ざんされいないという性善説が大前提になるだ。
セキュリティ強化ＯＳは性悪説が前提です。（カードキャプターさくらの世界に悪人はいません。）
まず、シンボリックリンクに関しては、シンボリックリンクを解決した後のパス名でチェックしますので
シンボリックリンクの影響は受けません。また、名前の変更に関しては「変更前／変更後」をセットにして、
ハードリンクの作成に関しては「リンク元／リンク先」をセットにしてチェックしますので、
「 mv /etc/shadow /tmp/shadow 」とか「 ln /etc/shadow /tmp/shadow 」のような操作を禁止できます。
よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。

> プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ
カーネルが大きくなってしまうことを心配してるのでしょうか？そうだとしたら
> /etc/ccs/exception_policy.conf以下に
> iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で
> 書くのいかがでせうか
exception_policy.conf に書いても domain_policy.conf に書いても
コードサイズの増加分は変わらないです。
domain_policy.conf に書く理由は、どのようなパラメータを許可すべきかは
ドメイン毎に異なるからです。 if 以降の条件は学習モードでは追加されませんので、
デフォルトでは 1.5.x と同様です。 /var/log/tomoyo/reject_log.txt の中から
allow_execute を見つけ出し、 if 以降の条件を追加したい場合だけ
手作業で追加してもらうことになります。
707 名前：login:Penguin [2008/02/23(土) 10:52:12 ID:+5LIG1Ds]: >>705

> ＣＧＩが増やしたプロセスの中に不正なプロセスが紛れ込んでいる
この機能は、ＣＧＩからシェルを起動できる条件を厳しくするために使います。
Apache プロセス内で動作するＣＧＩから /bin/sh の実行を要求されることがありますが、
「ＣＧＩによる正当な実行要求」なのか「バッファオーバーフローによる不当な実行要求」なのかを
判断する材料がありません。（どちらも Apache プロセスだからです。）
そのため、過去にどのような処理が要求されたかという情報を状態変数として保持しておくことで、
シェルの実行要求を認めるかどうかの判断材料として使えるようにするものです。
例えば 192.168.1.xxx から接続してきた場合のみ管理用コマンドの実行を
許可するといった使い方ができるようになります。
もちろん、実行時のパラメータチェックと組み合わせて使えます。

さらに、ログイン認証の強化（ケロちゃんチェック）でも使えます。
例えば /etc/fstab をオープンしてから認証プログラムを実行しないと認証が成功しないとか、
/etc/mtab を３回オープンすると次のステージに進むためのプログラムを実行できるようになるとか。
忍者屋敷化（からくり屋敷？迷路？）に一層の拍車をかけることができます。
侵入者が屋敷の玄関まで到達できても、屋敷の中には見えない障壁がいっぱいあって先へ進めない、
そんな状況を「想像」（この機能を使うことで「創造」）してください。
イベントの発生順序でアクセスを制限する TOMOYO Linux は、悪人がログインできない世界を創り出すのに最適なのです。

> あぁ　せんせ～は海外逃亡中みたいでつね
インターネット常時接続環境のない場所で難儀しているようです。
708 名前：デムパゆんゆん [2008/02/24(日) 00:10:25 ID:/WI3c3iT]: >>707
＞よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。
＞忍者屋敷化（からくり屋敷？迷路？）に一層の拍車をかけることができます。
ＴＯＭＯＹＯすげーｗｗｗ
ＳＥ　ぃぬっくすいらねーぢゃん
つか聞く前にコード嫁言われてるみたいだなｗｗｗ
うん　書く分量が多い過ぎて　ＭＬに登録してまともな文章で返信の返信するアルか

＞インターネット常時接続環境のない場所で難儀しているようです。
オランダにはネカフェがたくさん
ＱＢＢからＤＢに乗り代えお隣のドイチェランド　フランクフルトでビールとおつまみで一休み
お帰りはそのままルフトハンザ航空で安く日本へ　ひゃっは～
709 名前：login:Penguin mailto:sage [2008/02/24(日) 14:01:56 ID:smfLkUYP]: おい、データに居るのに贅沢だな。
710 名前：login:Penguin mailto:sage [2008/02/24(日) 21:44:23 ID:Gs5sbjyI]: せんせーへ。
これだけでMLになげるのもあれなんでこちらで。
お疲れ様でした。
711 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/24(日) 21:48:01 ID:zqtmZFzW]: >710
どうもありがとう。
今回は素晴らしくきつかったです。
712 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/24(日) 21:50:46 ID:zqtmZFzW]: 発表の直前まで作業していたので他の人の講演は聞いていないし、
チョコもワッフルも食べていませんが、明日帰国します。
今年はELCやOLSが通っていても辞退しようかな（笑）。
713 名前：デムパゆんゆん [2008/02/25(月) 02:45:27 ID:KB3fNQRF]: せんせ～が引退宣言だ
いつもなら長文書いて発狂してるのに
辞退するとデスクが子会社にいつの間にか移っていたり
うん　アレだ　これはなかった事に
ＮＳＡに頼んで証拠すべて消してみる
すべてなかった事にして進む
フーッハッハッハッハ～　ＮＳＡ万歳
714 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/25(月) 08:44:09 ID:lFcPbgqw]: いや、採用されたら発表しますよ。(^^;
会社的には別に辞退してデスクが変わったりすることはないでしょう。
やめることより続けること、続けられる状態を維持するほうが大変です。
（もっとも続けるためにやっているわけではなく、会社にとって
プラスにしようと思っているわけですが。そのあたりは資料をながめると
感じ取ってもらえるかも）
# しかし、いつも長文書いて発狂してますかねぇ。(--;
今回の発表については、PCの故障、鞄の盗難（これがひどい話で・・・）、
ネット接続できないなどさまざまなトラブルが続きました。
それらをなんとか乗り越えて「約束した」発表を無事終えた、というのが実感です。
FOSDEM'08のパンフによると参加者は4000人以上、発表は200件以上と
ありますが、発表は勿論自分以外の日本人は見かけませんでした。
European Meetingなのに選考してもらっている以上、日本代表も同じで
恥ずかしい発表はできないし、出張費用を負担する会社にはその費用以上の
ものをもたらさなければいけないというのが「約束」の意味です。
ドラクエで言えばMP0, HP1でやっと町に着いた的な状態で、さすがに
疲れました。
ということで少し横になったので、ちょっとだけ長文でした。（笑）
でふぁ
715 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/25(月) 08:56:20 ID:lFcPbgqw]: ヨーロッパのOSSのコミュニティというか取り組みの活気は非常に高くて
驚きました。「お祭り」とか「イベント」という浮いた感じはどこにもなく、
ただまじめに取り組んでいるという印象です。静かで本気なのです。
プログラムからもそれがわかると思います。
ttp://www.fosdem.org/2008/schedule/pdf
716 名前：login:Penguin mailto:sage [2008/02/25(月) 19:34:50 ID:6WW+La9G]: 鞄の盗難の話ｋｗｓｋ
717 名前：デムパゆんゆん [2008/02/25(月) 23:52:25 ID:KB3fNQRF]: >>715
pdf読んでみた
タイトルがはっきりしててうらやましいなぁと思う。
日本のＯＳＣに限らずなんか弊社でふぁソリューション展開云々
スポンサーの電波とかそんなのばっかりだし
エオロッパは反マイクロソフトが露骨でつ
官主導でがんがんやってるのうらやましい
実際システム構築やホスする人は地獄だとオモｗｗｗ

ＵＳＢメモリーとか刺したままにして
作業しながらコピー
やくそく守ったし生きて帰ってこれたから
うん　アレだ結果万歳

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef