TOMOYO Linux

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/09 18:21 / Filesize : 339 KB / Number-of Response : 913
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

TOMOYO Linux

1 名前：login:Penguin [2006/07/07(金) 16:28:14 ID:+/HOu7cX]: 向こうはスレッド名がよくないのとＣＣさくらヲタしか集まってこないのでフォークした。
重複ではないと思っている。

TOMOYO Linux プロジェクト
tomoyo.sourceforge.jp/ja/doc/index.html
629 名前：login:Penguin mailto:sage [2007/12/05(水) 20:54:48 ID:Nsoz8sT6]: 1.5.2が出ているね。
いつも通りVineで無事再構築終了。
自分の環境に今回の修正はあんまり影響なさそうだったけど気分的に常に最新版を（→これで他の事でもよく地雷踏んでるが）。

マイナーアップみたいなので左程問題が発生するとは思えないですが、取りあえずリリースされたらされたで公式ページにその情報は出して欲しいなぁ…と少々希望。
ところで…/usr/sbinにもccsツールが入るようになっているようですが何か事情があったのでしょうか。
630 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/05(水) 23:23:47 ID:/OndcmTF]: >>629
リリースについては、歴史的な経緯により以下の順で行っています。
1. tomoyo-users mlへの投稿 by 熊猫
2a. はてなキーワードへの追加 by 中野
2b. SourceForge.jpのプロジェクトニュースへの掲載 by 中野
3. LXRの更新 by 中野

もっとも早く、もっとも情報量が多いのが1で、2aや2bは1の内容を
それぞれの場に適したものに編集してから掲載しており、2bを先に書いて
2aではそれをポイントしていることがありますが、そのあたりは
やはり1の内容によりその都度判断しています。1を熊猫さんが行っているのは、
「より詳しい情報をロスなく早く提供する」という考え方と理解下さい。
ということでちょっと他のプロジェクトとは違うかもしれませんが、
ユーザや開発者の方には是非tomoyo-usersを購読いただきたいと思っています。

mlの過去のアーカイブを見ると1について、午前0時に行われていることが
わかりますが、これは社内リリース手続きの完了を待って行って
いたためです。ターボさんでの採用やディストロ対応を行ってくださる方の
ために上記に加えて事前予告を始めました。
631 名前：login:Penguin mailto:sage [2007/12/05(水) 23:39:23 ID:1q9gnTlu]: >>630
何故 devel へは告知しないの？
632 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/05(水) 23:40:32 ID:/OndcmTF]: >>631
プロジェクトの中では「develの人はusersは読んでいる」と思っているからです。
633 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/06(木) 00:03:46 ID:WbWUOs9u]: >>629
今回のリリースで、/usr/sbin/の下にシンボリックリンクを置くことにしたきっかけは
/usr/lib/ccs/の下に実行可能ファイルを置くのはtomoyo-devで
FHS (Filesystem Hierarchy Standard)として好ましくないという指摘が
あったことがきっかけです。

これから全く新規に提供するものであれば最初からFHS準拠にするのですが、
/usr/lib/ccsの下に置かれたファイルの場所を変更するとmanager.confや
既存のポリシーに影響してしまうため、このような形態を選択しました。
真の解決ではないので、どこかのタイミングで整理したいと思っています。

また、オンラインマニュアル作成の際にSELinuxとのコマンド名重複が
発見されたので/usr/sbin/配下ではccs-という接頭辞を追加しました。
634 名前：デムパゆんゆん [2007/12/08(土) 21:54:36 ID:sHGmKago]: init_policy.shもう一度やり直すとき、
/etc/ccs以下を削除すればいいﾆｶ？
ISP全面規制だ
ｱｲｺﾞｰ
635 名前：login:Penguin mailto:sage [2007/12/09(日) 00:07:15 ID:fw91IWD0]: /etc/ccsをバックアップ取って実行してみるニダ。
大丈夫なはずだが駄目だったら時空太閤HIODEHOSHIのせいにすれば良いニダ。

/etc/ccs/profile.confを弄っているなら…
xargs -0 setlevel < /etc/ccs/profile.conf
をしておいた方が良いニカ？
636 名前：login:Penguin [2007/12/09(日) 03:26:02 ID:awIRvzBx]: いつのまにこんなに盛況なスレに！

で、メインラインに入ったんですか？

忙しくて今年一杯は何もできない者より
637 名前：デムパゆんゆん [2007/12/09(日) 11:51:49 ID:mvxahewm]: >>635
時は遅し　ｱｲｺﾞ～
rm -rf /etc/ccs
ｗｗｗ

less init=policy.sh したら
最後の数行でディレクトリ掘ってたからとりあえずフォルダ削除したﾆﾀﾞよ
やっとfedora 8で動いた　あぁ感無量
selinuxと共存させているがインスコが面倒過ぎる以外は特になんもない
seeditでポリシをさわってﾆﾔﾆﾔ　tail /var/log/tomoyo/reject_log.txtみてﾆﾔﾆﾔ
FreeBSDでﾙｰﾀの話はどうなったか・・・。
7.0BETA3はインスコできなかった　BETA4で試す気力がない
そんなわけで、いぢけて犬に戻ってきたでがんす　ﾜﾝ
638 名前：login:Penguin mailto:sage [2007/12/10(月) 01:08:30 ID:XfaDvWiE]: >>637
FreeBSD7.xでルータ化ニカ？
素直に6.3出るのを待って6Stableで使った方が良さ気ニダ（5系統は微妙）。
TOMOYO BSDでも出れば使いたいニダ。

それにしてもSDにあったSSHログイン時の小技は良いニダよ。
/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上でログイン後に認証取らないとなーんにもできないようにしてやったニダ。
個人鯖なら認証の回数はやりたい放題なのが気に入ったニダ。

外部野ざらしは怖い怖い。
639 名前：デムパゆんゆん [2007/12/10(月) 11:09:53 ID:weSbgjCG]: >>638
もぱようござる
ﾌﾘBSD7.0のzfs使ってみたかったﾆﾀﾞよ
最初からzfsぢゃないんだな（泣　新しいのでないとｲﾔﾀﾞｲﾔﾀﾞ

address eth0とかtun0とかinterfaceで指定出来ないかのぅ？
wanだとダイナミックDNSとか使ったときアドレス変わるから繋がらなくなりそうな
ｵｶﾝ時々僕とｵﾄﾝ　こういう使い方がよくないのかしらん
setprofile -r 3 "<kernel>"selinuxもenforceにすると強烈でつ
シャットダウンできましぇんｗｗｗ
ファイルシステム　”/”以下全部制御したい気分

＞/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上で
＞ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
保護するの/usr/sbin/sshdだけでいいﾆｶ？
接続はwan→lan　lan→lanへ別の端末？
wanからのsshはやっぱりポートを開けねばならぬのぅ
VPNにしてwan0に仮想的にプライベートアドレスを割り当てられるのだらうか
sshの小ネタ集　SDのバックナンバー買ってくる　ﾑﾑﾑ
CTUみたく衛星回線でスクランブル発信で自動的にポートが開けられるとか　ﾌﾌﾌ
640 名前：login:Penguin mailto:sage [2007/12/10(月) 22:09:35 ID:XfaDvWiE]: >>639
SSH小ネタ集…というか、ログインセッションネタはSDの10と11月号ニダ。
けっしてウリはSD編集部の回し者ではないニダ。

ちなみにウリの環境は[WAN側]-[ルータ]-[LAN配下のPC]ニダ
ssh踏み台用サーバとMailとWeb用のサーバがあるけどMailとWeb鯖のsshポートは/usr/sbin/sshを固めた踏み台用PCしかログインできないようにしているでつ。
MailとWebもTOMOYOで固めているでつが、今のところ不都合なく半年以上またーりと運用できているニダ。

楽を覚えてしまうと他の事を覚えるのが面倒になってしまうのはきっと日帝の陰謀ニダ！
641 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:36:14 ID:lunSW/hp]: 明日、SDの編集さんと会うニダ。
来年の連載をどうするか話し合うニダ。
月刊誌の連載はつらいものがあるので、役に立たないなら遠慮したかったりするニダ。
意見、希望、コメント、その他あれば参考にするニダ。
ニダって何のことかわからないニダ。
642 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:41:48 ID:lunSW/hp]: >>636
メインラインにはいってたらここにも報告しているニダ。
Smackはmmツリーに入ったけれど、パス名ベースの
AAとTOMOYOは「よくわからない状態」になってしまっているニダ。
SELinuxチームにはいじめられなくなったけれど、
押してくれる人もいないし、誰が決めるかよくわからない変な状態ニダ。
LSMの見直しとか議論が始まってさらに謎は謎を呼んでいるニダ。

この状況を打開し、巨大な陰○と戦うべく近日再び動くニダ。
643 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:47:11 ID:lunSW/hp]: ttp://packages.debian.org/search?keywords=tomoyo&searchon=names&suite=all§ion=all

> 新しいパッケージポリシー対応作業などもするので、アップデートは
> もう少し後になります。
とのこと。感謝感謝。(_ _)
644 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/10(月) 23:53:56 ID:lunSW/hp]: 11/29でPacSecで講演しました。資料は既にSF.jpで公開しています。
はてなからたどるのが簡単ニダ。
d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099

12/12にThinkITにレポートが掲載されます。
次のTOMOYO的なイベントは、1月末のITexpoでの展示です。

ネットワークセキュリティExpert 7も発売になったようです。
日経Linux最新号では、CELFの方によるメインライン特集ありなのでそちらも要チェック。
ttp://itpro.nikkeibp.co.jp/article/MAG/20071204/288654/
645 名前：デムパゆんゆん [2007/12/11(火) 00:04:38 ID:3zCF9GCJ]: >>640
ややこしいことしてまつね
同じ構成どこかの記事になってたような
探してみるか。
ttp://www.tamanegiya.com/nida-2.html
SDの連載毎回担当決めて持ち回りでやるのふぁ？
一人にかかる負担が減るとｵﾓ
ちょっと前LKMLざっと見た印象
ずっと熊猫せんせ～とLSM担当のトロンドせんせ～が平行線な感じ
ttp://lkml.org/lkml/2007/11/16/410
LKML読んでselinuxのステファンだったか
そもそもLSMがあんまり気に入らないみたいな印象だった
LSMつかってセキュリチーモヂュール作ってるのｦﾚらだけぢゃん？みたいな
ぢゃぁLSM仕様変えるとか、そもそもいらんのちゃう？と遠回しに言っているような気がした。
言い方が悪くlinuxを支配しようとするNSAの陰謀だ!!!みたくなって
つーかトロンドﾀﾝも相当偏屈だｗ　他の人にもｲﾗﾈの一言だ　ｳｰﾑ
646 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/11(火) 00:05:05 ID:lunSW/hp]: 12/21のCELF Jamboreeは要チェック。
ttp://tree.celinuxforum.org/CelfPubWiki/JapanTechnicalJamboree18
647 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:20:35 ID:AFvxJNeo]: >>635
＞xargs -0 setlevel < /etc/ccs/profile.conf
1.5.x なら
loadpolicy p
または
cat /etc/ccs/profile.conf | loadpolicy -p
でもＯＫ。（ p は profile.conf の p 、 m は manager.conf の m ね。）
setlevel は loadpolicy で代用可能、 setprofile は editpolicy で代用可能。
648 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:21:11 ID:AFvxJNeo]: >>638
＞ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
この手法はシェルを起動する場合にのみ適用可能な点に注意してくださいね。
ポート転送の場合にはシェルを起動する必要がないので、
MAC_FOR_NETWORK も併用して制限してやらないと
自由に ssh -L や ssh -R によるアクセスができてしまいます。
649 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 08:21:41 ID:AFvxJNeo]: >>639
＞address eth0とかtun0とかinterfaceで指定出来ないかのぅ？
インタフェースでの指定はサポートしていませんが、
address_group eth0 192.168.0.1 のような方法で exception_policy.conf に記述しておけば、
allow_network TCP bind @eth0 22 みたいに domain_policy.conf で指定できます。
あとは、ＩＰアドレスが変化したら address_group eth0 を更新するスクリプトを走らせば
動的に変化しても対処でき・・・るかな？スクリプトの内容は
echo address_group eth0 新しいアドレス | loadpolicy -e
echo delete address_group eth0 古いアドレス | loadpolicy -e
てな調子です。
650 名前：デムパゆんゆん [2007/12/12(水) 20:49:24 ID:1GwRrgco]: >>649
さんクスコ
適当にグループ名つけて分けられるんだにゃ
iptableみたいだ
マニュアル読んでて混乱してきた　ｳｰﾑ
メモ代わりにブログでも書くか
＞ニダって何のことかわからないニダ。
朝鮮語の皮肉
文末に～ニダ　～ﾆｶ？　感嘆詞　ｱｲｺﾞ～　とかetc
ちなみにセキュリティーexpoert　part7読んだ　ｳﾑ
651 名前：デムパゆんゆん [2007/12/12(水) 21:07:08 ID:1GwRrgco]: 忘れてた
来年のＳＤ連載どうなるでつか？
とりあえず今年の１－１２月号が聖典に～
御布施するぞお伏せするぞ
だんだん特アすれみたくなってきたな　まともな人間モードにしよう
652 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:02:12 ID:sQVncvfj]: >>648
あ、言い忘れました。
MAC_FOR_NETWORK を使わずとも OpenSSH の設定（ /etc/ssh/sshd_config ）で
ユーザ名やグループ名に基づくポート転送の制限を行うことが可能です。
詳細は ttp://www.oreilly.co.jp/books/4873112877/ の本に書かれています。
TOMOYO でも allow_network TCP connect 192.168.1.1 80 if task.uid=1000-2000 のように
ユーザＩＤやグループＩＤに基づくアクセス制限をサポートしています。
653 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:03:26 ID:sQVncvfj]: ttp://www.thinkit.co.jp/free/article/0712/9/1/
インプレスIT、やばい会社だ。
654 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/12(水) 22:06:26 ID:sQVncvfj]: >>651
昨日、編集さんと打ち合わせますた。
来年も6回くらいの連載を書く方向で検討します。
8ページで、記事は6ページ、残りの2ページはプロジェクトのニュース、
という提案をいただきますた。

以前も書きましたが、「中の人」だけじゃなくて、この板を含めた
ユーザと一緒に執筆してみたいと思っています。丸投げではなく、
一緒に書くというイメージです。興味ある人があれば連絡ください。
655 名前：login:Penguin mailto:sage [2007/12/12(水) 23:15:12 ID:1hor2Jgk]: >>652
ふむふむ。
普段ほとんど（自分の環境では）ポート転送使っていないので頭から完全に抜け落ちておりましたですたい。
色々試してみますが、選択肢があることはよいことですね。

試して楽な方を選ぶことができるので。
656 名前：login:Penguin mailto:sage [2007/12/13(木) 00:59:17 ID:o8kOiAbC]: せんせーは、ばりばり英語が書けてすごい…。
というか、著名な開発者の方々は皆書けるんですよね…。
おれもこの前英語圏のプロジェクトにバグ修正
ってか機能追加の提案したけど一向に返事が来ない…
あまりにひどい英語だったから無視されちゃったのかなぁ (´･ω･`)
657 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:28:19 ID:B3Y4lHaA]: >>656
LKMLのTOMOYOのスレッドをたどるとわかりますが、
返事をもらえてないのは日常茶飯事です。返事をもらえなくて困るのは、
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
話すときも書くときも「これで良いのか？」を考えすぎると
何もできなくなるし、気持ちが委縮して、かえって伝わりにくくなります。
日本にきた外国人の人が片言でも言いたいことがわかるのと同じで、
「伝えたい」という気持ちをもっていれば、伝わります。
オタワでは母国語が英語でない人もたくさんいて、その人達の言葉は
やっぱりわかりにくかったのですが、でもそれでいいんです。
658 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:29:41 ID:B3Y4lHaA]: >>657 行が抜けてしまいますた

返事をもらえなくて困るのは、もらえない理由や、読んでくれたかが
わからないことです。また、メールで困るのは
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
659 名前：デムパゆんゆん [2007/12/13(木) 09:53:54 ID:Wths6Dev]: もぱようございます
インプレス　グローバルな時代にあわせろかぁ。ｗ
読むのにも１週間かかる　ｳｰﾑ
誤字脱字はにちゃんねるの文化　これでいいのだ
660 名前：login:Penguin mailto:sage [2007/12/13(木) 14:06:23 ID:CV+mmHd8]: CLANNADの智代かと思った

なんつってジョークだよ許してよ
661 名前：デムパゆんゆん [2007/12/15(土) 03:27:09 ID:gceWszq3]: ソウルで零戦に乗って、韓国国会前で着陸したら許してもらえるかもﾆﾀﾞ

最近思うのはつっこむとselinuxと余り変わらない気がするなぁ
/home　以下ユーザでログインできない　あぁ無情
gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
パッチ出たのが一昨日だっｗ
ともよﾀﾝそんなに困らさないででよん
662 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 10:24:51 ID:h9rQF8ZE]: >>661
もうちょっと詳しい情報ｷﾎﾞﾝﾇ
663 名前：デムパゆんゆん [2007/12/15(土) 15:52:47 ID:gceWszq3]: 上官殿ｯ!!!　報告するであります

鳥はF8　initは５が前提
selinuxはenforce　TOMOYOは setprofile -r 0,1,2,3 <kernel>
/home 以下ユーザでログインしたら
gdm-binary[2660]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
こんなメッセージが出る

selinuxがpermissiveだとログインできる
起動時/etc/X11/xinit/Xsessionの直前で/tmpにアクセスがあり
TOMOYO-WARNING: Access 'create /tmp/.gdmOOKP2T' denied for /usr/sbin/gdm-binary
TOMOYOがプロファイル1の時でも/tmp以下は学習はするものの
制御してるのかと思い　/tmp以下全部許可にしたりした

selinuxで/usr/sbin/gdm-binaryのアクセス権限がだめなのかと思い
現在ｸﾞｸﾞﾙ先生にご意見拝謁賜っておりまつ

続く
664 名前：デムパゆんゆん [2007/12/15(土) 16:12:09 ID:gceWszq3]: ＞gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
＞パッチ出たのが一昨日だっｗ
勘違いだった　リプライの日付でつた　selinuxも関係なさそうだあぁ無情
https://bugzilla.redhat.com/show_bug.cgi?id=379511
怒らないで　ともよﾀﾝ
鳥が鳥だけにメンテナも七転びバットウ
lists.linuxcoding.com/rhl/2007q4/msg11463.html
バグ再発
このまま茨の道を歩き続けるかselinuxをpermissiveにするか

localhost acpid: client connected from 2066[68:68]
localhost ccs-auditd: Started.
localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found
localhost pcscd:last message repeated 3 times
localhost acpid: client connected from 2168[0:0]
localhost gdm-binary[2198]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
localhost gdm-binary[2212]: Gtk-WARNING: Ignoring the separator setting
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2213]: Gtk-WARNING: Ignoring the separator setting

こんな感じ　ばぐ太なのか権限が足りないのかｳｰﾑ

続く
665 名前：login:Penguin [2007/12/15(土) 16:15:33 ID:1GRMYg0A]: 　　　┌─‐‐─┐　　みなさんは２ちゃんねるの初心者ですか？書き込む前に
　　　|_____________|　　SG(セキュリティー・ガード)に登録しないと自作自演がバレてしまいますよ。
　　 ='========='== SGに登録せずに書き込んだ場合、あなたのパソコン内の
　　　/ ＼　　／│　情報は他人に見られていると考えてほぼ間違いないでしょう。
　 ┌|-（・）-（・）-|┐ 自作自演がばれる方の多くはこの登録を怠っています。
　 └| 　　〇　 .|┘ 初期の頃から２ちゃんねるにいる方達は、ほとんどの方が
　　 |　___ |||||__　|　　このBBSのコマンドの仕組みを知っています。ですから簡単に
　　 |　＼＿＿/ |　　あなたのIPアドレス等を抜き取り自作自演を見破ってしまいます。
　　　| 　　||||| 　 |　　このコマンドの方法は決して教えないというのが初期の頃から
　　　　　　　　　　　　２ちゃんねるにいる方達の間で暗黙の了解となっていましたが、
あまりの被害の多さに心を痛めた私はあえて公開することにしました。
SGしておけばまず抜かれるコマンド自体が無効になってしまうのでどんなにスキルが
ある人でもIPアドレスを抜くことが不可能になります。SGに登録する方法は、
名前欄に「 fusianasan 」と入れて書き込みする。これだけでSGの登録は完了します。
一度登録すれば、Cokkieの設定をOFFにしない限り継続されます。
fusianasanは、正式にはフュージャネイザン、又はフュジャネイザンと読みます。
元々はアメリカの学生達の間で、チャットの時にセキュリティを強化する為に
開発されたシステムです。これを行うことにより同一人物が書き込んでいるか
どうか判別する手段が遮断されるので安心です。ぜひ書き込む前には
名前蘭にfusianasanと入力してください。自分の身は自分で守りましょう
666 名前：デムパゆんゆん [2007/12/15(土) 16:29:35 ID:gceWszq3]: あとはTOMOYOでこんなﾛｸﾞが
localhost kernel: TOMOYO-WARNING: Domain '<kernel> /sbin/init /etc/X11/prefdm /usr/sbin/gdm
/usr/sbin/gdm-binary /etc/X11/xinit/Xsession　/bin/bash /usr/bin/ssh-agent　/usr/bin/dbus-launch
/etc/X11/xinit/Xclients /usr/bin/gnome-session /usr/bin/gnome-panel
/usr/bin/gnome-terminal /bin/bash /usr/bin/yum'
has so many ACLs to hold. Stopped learning mode.

selinuxとTOMOYO両方使いたいのぅ　気分的に使うIDS減るｵｶﾝ　運用は地獄でつ

上官殿!!!　不本意な成績で申し訳ありません　自分の不遜にあります
以上、台湾航空隊第二攻撃隊のラバウル航空戦の戦績を報告するでありますっ!!!
667 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 17:42:10 ID:h9rQF8ZE]: Q. 結局のところ何が問題か説明せよ（長すぎてわからないぞ）
Q. 「問題」は(a) SELinuxの問題、(b) TOMOYO Linuxの問題、(c) 切り分けできていないのどれになるか？
　（TOMOYOに関係なく発生するならまずselinux-usersに質問するのが吉だ）
668 名前：デムパゆんゆん [2007/12/15(土) 18:55:14 ID:gceWszq3]: Ａ、(a) SELinuxの問題
ｳﾘはﾈﾀ投下のつもりでやってるﾆﾀﾞよ
ﾈﾀにならないなら投下しないﾆﾀﾞ
うわぁ～ん
669 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 19:42:50 ID:h9rQF8ZE]: >>668
ﾈﾀ投下ですか。それは失礼しますた。ﾈﾀは自由に投下ください。
TOMOYOの話題限定でなくても良いのですが、早く解決するには
SELinuxのほうに聞いたらと思ったのでした。

yumは特別な事情というか理由がなければ学習させなければ
良いと思います。（でもこれもﾈﾀか？）
670 名前：login:Penguin mailto:sage [2007/12/26(水) 01:38:13 ID:r4ypI5fU]: Vineが4.2へ。
一応Kernelが2.6.16-0vl76.27に切り替わっているけど既存の2.6.16-0vl76.3用パッチファイルで問題なくTOMOYO仕込んで再構築完了。
まぁ…マイナーアップなのである意味当然な結果になりましたが…。
671 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/27(木) 07:40:40 ID:SXWTylVx]: TOMOYO Linuxのディストリビューション対応状況2007.12.25版です。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-dev/2007-December/000749.html

添付されていたExcelをGoogle Spreadsheetsで公開してみました。
ttp://spreadsheets.google.com/ccc?key=p5SYVEC0jPMO_UUm1hsvQWQ#
672 名前：login:Penguin mailto:sage [2007/12/28(金) 01:37:38 ID:tdQ5au30]: ccs-toolsをコンパイルするにあたり、必須な物って何がありますか？
当方Debian（Etch/Lenny）を使っているのですが、make中に大量のWarningを吐き出してしまいます。
一応、Errorは吐き出さないので成功…なのかもしれませんが、ちと気になります。
以前までVinelinux4.1を使っていたのですが、その時はWarningは吐かなかったので…。

make -C ccstools/ all
make: Entering directory `/root/ccstools'
gcc -Wall -O2 -o ccstools ccstools.src/*.c -lncurses -DCOLOR_ON
ccstools.src/ccstools.c: In function 'IsDomainDef':
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of '__builtin_strcmp' differ in signedness

(中略）

timeauth.c:272: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
timeauth.c:274: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
gcc -Wall -O2 -o falsh falsh.c -lncurses -lreadline
make: Leaving directory `/root/ccstools'

Debian自体は最小構成でインストールしているのでほとんど余計（必須）な物が入っておりません。
取りあえず

make
libncurses5-dev
libreadline5-dev

は入れております。
673 名前：LiveCDの中の人 mailto:sage [2007/12/29(土) 03:31:21 ID:i64ao+JI]: >>672
結論から言うと、このwarningは無害です。
警告を消すには、Makefileの35行目のコメントアウトを解除して、
37行目をコメントアウトしてください。
Vineで出ずにEtch/Lennyで出る、というのは、
Vineのgccが、この警告を表示するオプションno-pointer-signが
まだ実装されていないバージョンのためです。

TOMOYOの内部では文字列をunsigned charポインタで表現していますが、
strlenなどの関数が受け取り方がただのcharポインタであることが原因です。
674 名前：login:Penguin mailto:sage [2007/12/29(土) 09:11:51 ID:S76xHoyg]: >>673
文字コードに依存した処理（文字コードに子息演算とか）をしなければ、charで事足りると思うのですが、
敢えてucharな理由はなんですか？
675 名前：login:Penguin [2007/12/29(土) 15:07:37 ID:hCsJ400H]: >>674

TOMOYO ではエンコーディングは考慮しません。
全ての文字列を ASCII printable な文字だけで構成します。
そのため、 ASCII printable ではない範囲のバイト
（ 0x01 ～ 0x20 および 0x7F ～ 0xFF ）については
\ooo という８進数で表記します。
この４バイトで表記される８進数データと１バイトで表記されるバイナリデータとを
相互変換する際にビット演算が必要になるので、毎度 signed か unsigned かを
考慮するのが面倒という理由から、最初から unsigned で扱うようにしています。
また、 ASCII printable でないことを検査する際に
1 以上 32 以下または 127 以上 255 以下と表記する方が
-128 以上 -1 以下または 1 以上 32 以下または 127 と表記するよりも
理解しやすいと考えています。
技術的には必要に応じて unsigned char にキャストすれば可能です。
676 名前：login:Penguin mailto:sage [2007/12/30(日) 00:52:55 ID:ekUClILt]: >>673
Thxです。
677 名前：login:Penguin mailto:sage [2007/12/30(日) 04:09:27 ID:LWrRAHuk]: 英語と日本語で両方ある場合は、相互に対応するページ、最低トップには
リンク貼っといた方が良いかもです。
検索とかで飛んできた人もいるので。
678 名前：login:Penguin mailto:sage [2008/01/07(月) 12:00:43 ID:6LLk5psJ]: CONFIG_XXXX
のXXXXは機能を意味する英語であって、コードネームであっては
ならんと思うんだが、どうよ？
679 名前：login:Penguin mailto:sage [2008/01/07(月) 20:00:13 ID:/JVv+gmI]: そいや今更だけどDebian LinnyのパッケージにTOMOYOﾀﾝが入っているね。
ただDebianのポリシーそのままに行くと1.5.x→1.6.xとかの変更が推奨されたときもパッケージに入らない気がするけどその辺りどうなんでしょ？
記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。
680 名前：login:Penguin mailto:sage [2008/01/07(月) 22:35:29 ID:kortU+/c]: >>679
> 記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。

stable はそうです。
681 名前：login:Penguin mailto:sage [2008/01/07(月) 22:43:32 ID:kortU+/c]: より正確に言うと stable になった場合は、基本的には security fix のみで、
それ以外は機能的に大きく問題になるような（機能しなくなるような）点に関する
修正だけが協議の上で入れられる状態です。

ま、新しいの追いかけたい人は unstable 使うでしょうからあまり気にすることも
ないでしょう。
682 名前：login:Penguin mailto:sage [2008/01/17(木) 05:20:31 ID:V/IoaRhx]: なんだ、まだNAGATO linuxに改名してないのかよ
683 名前：login:Penguin mailto:sage [2008/01/17(木) 08:22:12 ID:SV+g1jpN]: >>682
アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ？

そんだけではアレなので。
MACに興味あるので古いPen!! BXマシンのDebian Woody(ぉぃ)な内部用自宅鯖をOS含め入れ替える序に使ってみようとプラン立ててます。
思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
運用モードである日あるアプリがエラーで落ちたときにログを書き出そうとしたりアラートプログラムを起動させようとしても事前に学習させてなければTOMOYOに妨害されるという可能性。
護るという点ではそれは正しい挙動なのだけど、なかなかポリシーを作るってのは難しいですね・・・
幸いLinuxで動かすアプリは大抵オープンソースだから追いかけるのも不可能ではないのが幸せな所かも。
TOMOYOにもSELinuxみたいな出来合いポリシーまでは行かないですが、
「Apache動かすならココ許可し忘れに注意ね。」みたいな指南があると楽なんだろうなぁとも。
684 名前：login:Penguin mailto:sage [2008/01/17(木) 08:29:07 ID:SV+g1jpN]: ま、単にWindowsメインで暮らしてLinuxを少し触れるだけのプログラムやハックが趣味な人の戯言やチラシ裏と流して頂ければと。
学習モードで眺めるのがなんとなくFilemonやProcess Monitorとかと感覚的に似てそうだなぁとニヤニヤしてます。
Filemon ttp://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
Process Monitor ttp://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Windowsアプリは未だにアクセス権に対してテキトーな物が多いのが悲しい事ですたい。
この間もUsersで動かすと落ちるとかいうのを調べたら権限のない場所に書き込もうとして失敗したのに次のステップを強行してぬるぽで落ちてる始末。
みんなAdministrator(root)だった頃の癖が抜けてないプログラマー(というよりSEさん)が多い様で。
Linuxアプリは歴史的に有る程度考えて組まれてるみたいですけど物によっては同じ状況もあるのかなー？
ちゃんとやってればVistaのUACもそう大騒ぎする事でもない、UAC有効で問題ない状況だったはずなのになー

あれだ、キモイパソオタでしかもドザでさーせん。風邪で脳に蛆がわいてるみたい。
就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
出席足りなくてヤバイですよ。機械の体が欲しいです切実に。螺子になるのは嫌だけど。
スルーしてちょ。ただ、TOMOYOをみんなに運用しようと思ったらポリシーを網羅するのは大変だろうなと。
TOMOYOの良いところは俺のドキュメントは俺がKDEから起動したOOoからしか読み書きさせねー、
Apacheから来たアクセスははじいちゃるなんてのがファイルシステムのアクセス権に関係な実現できそうな事ですねー
685 名前：デムパゆんゆん [2008/01/18(金) 20:24:15 ID:5cuexXpF]: おはぎゃぁぁぁ～
＞アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
＞萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ？
今まではTCPmon　squrd トリップワイヤ　とかいろいろ使ってあれこれ試行錯誤
あれ？　どうしてレスしてしまったのか
管理する人間にしてみればＴＯＭＯＹＯが出て随分楽になるのでふぁ
＞思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
自分も前おんなじ様なこと書いたような気が駿河
ＴＯＭＯＹＯﾀﾝ思考停止はい神崎
apache スクリプトでＴＯＭＯＹＯログ監視してストポみたいなエラーでたら
携帯にメイル発信するとか
んで、ＳＳＨでリモートからあぱちぇ再起動　ｳﾏｰ
そしたならば、うちに帰ってから再学習させればよかっぺ

ｦﾚ様って頭いい～とか自画自賛してみるが、
その昔日経コンピューターで特集やってたのを言ってみただけだｗｗｗｗｗ
採用してた会社は遠い記憶で東京三菱うふぁじゃぁ銀行
それでふぁ失礼したいのでつが　その前におちっこ

>>684
＞就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
せんせ～の足にしがみついて、だた様ﾏﾝｾ～　ダタ様ﾏﾝｾ～
と、叫んでみると　あら不思議　目の前にまっさらの履歴書があるわけです。
ストーカーチックでつね　名前も貞子に
あれ　ディスプレイの電源が入ってる・・・・・・・。
風でなくても脳が沸いてるｦﾚなんですが
すかしっぺ
686 名前：login:Penguin mailto:sage [2008/01/18(金) 20:37:47 ID:l92/rN1X]: >>685
結果をその場で予め決められたとおりに下すんじゃなくてデスクトップ用途で使うならアラートダイアログが出て
「ともよちゃんがさくらちゃんを着せ替えしようとしてるけど、実行してよかと？だめと？　<<やー>> <ないん>後10秒...」みたいなモードがあると面白そ
687 名前：login:Penguin mailto:sage [2008/01/18(金) 22:07:32 ID:BvMIQ0O1]: 外部アプリケーションへのフック機能か。
セキュリティ的になんか心配な気はするけども。
688 名前：login:Penguin [2008/01/19(土) 13:42:03 ID:HMoPyc1e]: >>682

　改名はありません。
　ttp://I-love.SAKURA.ne.jp/tomoyo/

>>683

　ある程度ユーザが増えてくればユーザ間でのノウハウ流通が増えてくると思うのですが、
　最初は難しいので、ソフトウェアの開発元さんにお願いしたいところです。

>>684

　TOMOYO Linux は「情報の伝搬」（情報フロー）を監視／制限するモデルではなく
　「アクセス要求の連鎖」を監視／制限するモデルですから、
　Filemon や Process Monitor とかと似ているでしょうね。

>>685

　/etc/crontab または専用デーモンを使って、 /var/log/tomoyo/reject_log.txt に変更が
　あった場合に携帯にメールを送るということならできるでしょう。
689 名前：login:Penguin [2008/01/19(土) 13:43:19 ID:HMoPyc1e]: >>686

　何故にドイツ語？（笑）

　デスクトップにダイアログを表示するプログラムは無いけれど、
　ポリシーで許可されていない要求をその場で却下するのではなく
　管理者の判断を仰ぐようにするモードはバージョン 1.1.1 以降で使えます。
　この機能を使えば、例えば３分間を限度に管理者が応答するまで保留させるといったことも実現可能です。

　管理者とポリシー違反監視デーモンの双方からアクセス可能なプライベート領域を用意できれば、
　「サービスがポリシーで許可されていない振る舞いを要求」→「カーネルが要求を保留」→
　「ポリシー違反監視デーモンが要求内容をプライベート領域に書き込み後、ユーザに注意喚起」→
　「ユーザがプライベート領域の内容を見て諾否をその領域に返答」→
　「ポリシー違反監視デーモンがその領域に書き込まれた返答を見てカーネルに伝達」→
　「カーネルが返答に従って処理を行う」という流れを踏むことで
　対話的にポリシー違反を処理することができます。
　コンソールやターミナルからこの処理を行うのが ccs-queryd というプログラムです。

　問題は、 Linux サーバだと Windows みたいに常にデスクトップ画面が使えるとは限らないので、
　通知のためにメール等の手段を必要とすることと、公開Ｗｅｂサーバやｓｓｈのように
　ファイアウォールで遮断されないサービスの手助けを借りる必要がある点ですね。
690 名前：login:Penguin [2008/01/19(土) 23:57:04 ID:HMoPyc1e]: >>685
>>689

　よくよく考えてみると、通知して保留する部分だけなら簡単なのでちょっと作ってみました。

　ttp://svn.sourceforge.jp/cgi-bin/viewcvs.cgi/*checkout*/trunk/1.6.x/ccs-tools/ccstools/ccstools.src/ccs-notifyd.c?root=tomoyo

　これを gcc -Wall -O3 -o ccs-notifyd ccs-notifyd.c でコンパイル後、
プロファイルの ALLOW_ENFORCE_GRACE=1 に設定した上で
ccs-notifyd 0 'mail メールアドレス' のように実行すると、
強制モードで発生した最初のポリシー違反をタイムリーに教えてくれます。
判断保留中にログインして ccs-queryd で返答するつもりなら
待ち時間を 0 ではない値（ 180 秒くらいが妥当？）に設定してください。
691 名前：login:Penguin mailto:sage [2008/01/20(日) 21:02:11 ID:vK+YBZs+]: >>683
＞アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。

バックの組織のことも考えてKOIZUMI Linuxでいいじゃん。
692 名前：login:Penguin mailto:sage [2008/01/21(月) 02:40:10 ID:XBGn53n5]: 智代 After Linuxつくってくれ
693 名前：デムパゆんゆん [2008/01/21(月) 17:51:06 ID:rFx7dDpJ]: >>686
例外処理やprintfで出力出してるとこ
変えればよさそうだ。　うん

あれだな　本家にはとても入れらないだ？なので野良ビルド
どこかうｐ出来そうなとこはないものか、と
夜の校舎窓ガラス壊してまわった

>>690
最近ＢＳＤ入れたボッチャマに犬をもう一度入れろという天のお告げでつね。
こわひのでただ今から入れなおすことを前提に
前向きな検討をしたいと重いまつ。
きになったのはgcc -03 でエラーでないでつか？
スタンダードに-02のほうがよさげな気が始末書
待ち時間　メールだとすぐには届かないかも試練
webmin hinemosみたいな統合管理ツールで監視して
電話発信でワン切り５回なんかも考えた。
駄菓子菓子、１８０秒とか待ち時間過ぎても
リモート接続できないとき
拒否にして　家に帰ってガリガリと修正すればいいだけか。
でわ、海に潜る
694 名前：login:Penguin mailto:sage [2008/01/24(木) 22:36:43 ID:+xCTxMjN]: TOMOYO de BSDを所望しよう！
Trusted BSDは使い様が今一把握できんorz

それはさておき、1.6.xに向かってまっしぐらのようだけどポリシのパーミッション表記方法が変わると既存のポリシに影響出そうで怖いのぉ。
きちんと既存ポリシは引き継げるのじゃろか。
695 名前：login:Penguin [2008/01/25(金) 06:42:30 ID:S3Tv4eYT]: >>694

キーワードを以下のように変更するだけなので、 1.5.x で作成したポリシーを 1.6.x で読むことができるようになっています。（逆はできません。）

1 -> allow_execute
2 -> allow_write
3 -> allow_execute と allow_write
4 -> allow_read
5 -> allow_execute と allow_read
6 -> allow_read/write
7 -> allow_execute と allow_read/write
696 名前：login:Penguin mailto:sage [2008/01/25(金) 23:34:30 ID:Y8TQ/mNy]: >>695
ふむふむ、安心したとですたい。
個人的には現行のままかrwx方式の方が分かりやすい気もしますが。
697 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/02(土) 23:44:31 ID:BrD5gcHQ]: >>696

私も「現行の数値表示のまま＋コマンドラインオプションでrwx形式を追加」が
良いと思ったのですが、「特定の別名だけハードコーディングして
コマンドラインオプションという優遇措置を設定することには反対」という
ことになりました。

ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-January/thread.html

1.5.3では、下記のような環境変数を定義すれば、rwx表示に変更は可能です。
（一種sedの置換のようなイメージ）

EDITPOLICY_KEYWORD_ALIAS='1=--x:2=-w-:3=-wx:4=r--:5=r-x:6=rw-:7=rwx'
698 名前：login:Penguin mailto:sage [2008/02/04(月) 02:31:36 ID:C0+qZX6D]: >>697
orz
慣れれば馴染むのかなぁ。
慣れるまで大変そうだ。

せめて表記方法を選択できるようにすれば幸せ…かも。
699 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/04(月) 21:47:46 ID:pPdDQ2Yl]: >>698
> 慣れるまで大変そうだ。
そうですか？（笑）
ttp://tomoyo.sourceforge.jp/wiki/?plugin=attach&pcmd=open&file=editpolicy.bmp&refer=Welcome%21
> せめて表記方法を選択できるようにすれば幸せ…かも。
環境変数を定義しなければなりませんが、一応選択は可能です。
700 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/04(月) 23:08:56 ID:pPdDQ2Yl]: 1,2...7とrwxを両方表示させてみましたが、いまいち・・・。
ttp://tomoyo.sourceforge.jp/wiki/?plugin=attach&pcmd=open&file=editpolicy2.jpg&refer=Welcome%21
701 名前：デムパゆんゆん [2008/02/04(月) 23:47:54 ID:JAZlt/Xr]: いまいちなんでつが、
この際ばっさり切り捨てるとか
古い仕様が良いという抵抗勢力も出ると思いマツ
そんな時は　抵抗勢力はぶっ潰す　あひゃぁ
個人的には古いほうが良いような気もするんでつが
どっちでもいいや　だた様万歳!!!
702 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/05(火) 06:51:56 ID:fjHymLCz]: >>701
1.5.3ではポリシーの構文自体は変わっていません。
editpolicyが勝手に表示内容（見た目）を置換しているだけです。
だから1を「あひ」、2を「でつ」とかにしても良いわけでつ。
多分すでに使っている人には1,2,3...で十分なのでつが、
新しく使い始める人には、まあわかりやすいと思いマツ。
この変更が一番うれしいのは、デモの際に「4はreadで・・・」のような
説明をしなくてすむことですが、同じポリシーが環境によって
違って表示されても良いのか気になりまつ　あひゃぁ
703 名前：login:Penguin mailto:sage [2008/02/20(水) 18:36:49 ID:21MYkGk0]: TOMOYO の ML のアーカイブが gmane で読めるといいなぁ。
704 名前：デムパゆんゆん [2008/02/22(金) 00:35:14 ID:6ALFx6VR]: 偶然見かけたＯＳＣﾄﾝｷﾝ２００８の案内
ＴＯＭＯＹＯ独演会　登録しちゃると思ったら満員ﾆﾀﾞ!!!ｗｗｗ
以外だ　ＳＥ　Linuxと肩並べてるよ
日本はいよいよ制覇しつつあるのか
次は世界制覇でつね　ＮＳＡの陰毛を打ち砕く日が来るんだなッ!!!
去年のＯＳＣ関西見たく　立ち見は駄目そうなのかしらん
事務局に聞いてみるか
１０年ぶりのﾄﾝｷﾝ上京が夢と消える　あぁ花の大東京
705 名前：デムパゆんゆん [2008/02/22(金) 23:47:13 ID:6ALFx6VR]: [Tomoyo-dev 775] プログラム実行時のパラメータをチェックする機能について
[Tomoyo-dev 776] ステートフルなアクセス許可のサポートについて
なんとなく読んでみる。
allow_execute /bin/sh if exec.envp[\"HOME\"]=\"/home/\\*\"
極論を言うと/homeがシンボリックリンクなどで改ざんされいないという
性善説が大前提になるだ。
ｦﾚ様頭堅すぎるのかな?

ファースト　Tomoyo-dev 775
プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ
/etc/ccs/exception_policy.conf以下に
iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で
書くのいかがでせうか

セカンド　Tomoyo-dev 776
なんとなくわかるのでつ
ＣＧＩが増やしたプロセスの中に不正なプロセスが紛れ込んでいる
いやらしい僕ちゃんがいると　大変なことに
うーん　これも頭が固すぎるのか
最近ﾁﾝﾁﾝ固くしてないな

あぁ　せんせ～は海外逃亡中みたいでつね
お家の一大事でつ
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080222/294479/

ベルギ～ﾁｮｺ!!!　ベルギ～ﾁｮｺ!!!
706 名前：login:Penguin [2008/02/23(土) 10:50:55 ID:+5LIG1Ds]: >>705

> 極論を言うと/homeがシンボリックリンクなどで改ざんされいないという性善説が大前提になるだ。
セキュリティ強化ＯＳは性悪説が前提です。（カードキャプターさくらの世界に悪人はいません。）
まず、シンボリックリンクに関しては、シンボリックリンクを解決した後のパス名でチェックしますので
シンボリックリンクの影響は受けません。また、名前の変更に関しては「変更前／変更後」をセットにして、
ハードリンクの作成に関しては「リンク元／リンク先」をセットにしてチェックしますので、
「 mv /etc/shadow /tmp/shadow 」とか「 ln /etc/shadow /tmp/shadow 」のような操作を禁止できます。
よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。

> プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ
カーネルが大きくなってしまうことを心配してるのでしょうか？そうだとしたら
> /etc/ccs/exception_policy.conf以下に
> iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で
> 書くのいかがでせうか
exception_policy.conf に書いても domain_policy.conf に書いても
コードサイズの増加分は変わらないです。
domain_policy.conf に書く理由は、どのようなパラメータを許可すべきかは
ドメイン毎に異なるからです。 if 以降の条件は学習モードでは追加されませんので、
デフォルトでは 1.5.x と同様です。 /var/log/tomoyo/reject_log.txt の中から
allow_execute を見つけ出し、 if 以降の条件を追加したい場合だけ
手作業で追加してもらうことになります。
707 名前：login:Penguin [2008/02/23(土) 10:52:12 ID:+5LIG1Ds]: >>705

> ＣＧＩが増やしたプロセスの中に不正なプロセスが紛れ込んでいる
この機能は、ＣＧＩからシェルを起動できる条件を厳しくするために使います。
Apache プロセス内で動作するＣＧＩから /bin/sh の実行を要求されることがありますが、
「ＣＧＩによる正当な実行要求」なのか「バッファオーバーフローによる不当な実行要求」なのかを
判断する材料がありません。（どちらも Apache プロセスだからです。）
そのため、過去にどのような処理が要求されたかという情報を状態変数として保持しておくことで、
シェルの実行要求を認めるかどうかの判断材料として使えるようにするものです。
例えば 192.168.1.xxx から接続してきた場合のみ管理用コマンドの実行を
許可するといった使い方ができるようになります。
もちろん、実行時のパラメータチェックと組み合わせて使えます。

さらに、ログイン認証の強化（ケロちゃんチェック）でも使えます。
例えば /etc/fstab をオープンしてから認証プログラムを実行しないと認証が成功しないとか、
/etc/mtab を３回オープンすると次のステージに進むためのプログラムを実行できるようになるとか。
忍者屋敷化（からくり屋敷？迷路？）に一層の拍車をかけることができます。
侵入者が屋敷の玄関まで到達できても、屋敷の中には見えない障壁がいっぱいあって先へ進めない、
そんな状況を「想像」（この機能を使うことで「創造」）してください。
イベントの発生順序でアクセスを制限する TOMOYO Linux は、悪人がログインできない世界を創り出すのに最適なのです。

> あぁ　せんせ～は海外逃亡中みたいでつね
インターネット常時接続環境のない場所で難儀しているようです。
708 名前：デムパゆんゆん [2008/02/24(日) 00:10:25 ID:/WI3c3iT]: >>707
＞よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。
＞忍者屋敷化（からくり屋敷？迷路？）に一層の拍車をかけることができます。
ＴＯＭＯＹＯすげーｗｗｗ
ＳＥ　ぃぬっくすいらねーぢゃん
つか聞く前にコード嫁言われてるみたいだなｗｗｗ
うん　書く分量が多い過ぎて　ＭＬに登録してまともな文章で返信の返信するアルか

＞インターネット常時接続環境のない場所で難儀しているようです。
オランダにはネカフェがたくさん
ＱＢＢからＤＢに乗り代えお隣のドイチェランド　フランクフルトでビールとおつまみで一休み
お帰りはそのままルフトハンザ航空で安く日本へ　ひゃっは～
709 名前：login:Penguin mailto:sage [2008/02/24(日) 14:01:56 ID:smfLkUYP]: おい、データに居るのに贅沢だな。
710 名前：login:Penguin mailto:sage [2008/02/24(日) 21:44:23 ID:Gs5sbjyI]: せんせーへ。
これだけでMLになげるのもあれなんでこちらで。
お疲れ様でした。
711 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/24(日) 21:48:01 ID:zqtmZFzW]: >710
どうもありがとう。
今回は素晴らしくきつかったです。
712 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/24(日) 21:50:46 ID:zqtmZFzW]: 発表の直前まで作業していたので他の人の講演は聞いていないし、
チョコもワッフルも食べていませんが、明日帰国します。
今年はELCやOLSが通っていても辞退しようかな（笑）。
713 名前：デムパゆんゆん [2008/02/25(月) 02:45:27 ID:KB3fNQRF]: せんせ～が引退宣言だ
いつもなら長文書いて発狂してるのに
辞退するとデスクが子会社にいつの間にか移っていたり
うん　アレだ　これはなかった事に
ＮＳＡに頼んで証拠すべて消してみる
すべてなかった事にして進む
フーッハッハッハッハ～　ＮＳＡ万歳
714 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/25(月) 08:44:09 ID:lFcPbgqw]: いや、採用されたら発表しますよ。(^^;
会社的には別に辞退してデスクが変わったりすることはないでしょう。
やめることより続けること、続けられる状態を維持するほうが大変です。
（もっとも続けるためにやっているわけではなく、会社にとって
プラスにしようと思っているわけですが。そのあたりは資料をながめると
感じ取ってもらえるかも）
# しかし、いつも長文書いて発狂してますかねぇ。(--;
今回の発表については、PCの故障、鞄の盗難（これがひどい話で・・・）、
ネット接続できないなどさまざまなトラブルが続きました。
それらをなんとか乗り越えて「約束した」発表を無事終えた、というのが実感です。
FOSDEM'08のパンフによると参加者は4000人以上、発表は200件以上と
ありますが、発表は勿論自分以外の日本人は見かけませんでした。
European Meetingなのに選考してもらっている以上、日本代表も同じで
恥ずかしい発表はできないし、出張費用を負担する会社にはその費用以上の
ものをもたらさなければいけないというのが「約束」の意味です。
ドラクエで言えばMP0, HP1でやっと町に着いた的な状態で、さすがに
疲れました。
ということで少し横になったので、ちょっとだけ長文でした。（笑）
でふぁ
715 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/25(月) 08:56:20 ID:lFcPbgqw]: ヨーロッパのOSSのコミュニティというか取り組みの活気は非常に高くて
驚きました。「お祭り」とか「イベント」という浮いた感じはどこにもなく、
ただまじめに取り組んでいるという印象です。静かで本気なのです。
プログラムからもそれがわかると思います。
ttp://www.fosdem.org/2008/schedule/pdf
716 名前：login:Penguin mailto:sage [2008/02/25(月) 19:34:50 ID:6WW+La9G]: 鞄の盗難の話ｋｗｓｋ
717 名前：デムパゆんゆん [2008/02/25(月) 23:52:25 ID:KB3fNQRF]: >>715
pdf読んでみた
タイトルがはっきりしててうらやましいなぁと思う。
日本のＯＳＣに限らずなんか弊社でふぁソリューション展開云々
スポンサーの電波とかそんなのばっかりだし
エオロッパは反マイクロソフトが露骨でつ
官主導でがんがんやってるのうらやましい
実際システム構築やホスする人は地獄だとオモｗｗｗ

ＵＳＢメモリーとか刺したままにして
作業しながらコピー
やくそく守ったし生きて帰ってこれたから
うん　アレだ結果万歳
718 名前：login:Penguin mailto:sage [2008/02/26(火) 07:06:09 ID:eMAAHckI]: >>712
ワッフルはULBの自販機にあったような気がするですよ。
て既に手遅れですな。

>>714
そこまで気負わんでも。
ネットはHack labo.へいけばって言っても混んでて無理か。

>>717
あんなものと比較しちゃ失礼でつ。
719 名前：デムパゆんゆん [2008/02/26(火) 21:10:48 ID:75/EnCeb]: >>718
ちょｗｗおまｗｗｗｗｗｗｗｗ
なんでつが、あんなものでも
時間を割いて講演する人もいる
あんなものでも１０年ぶりのﾄﾝｷﾝ上京にｗｋｔｋしているのにｗｗｗ
行く気なくすよ　べぃべ　華の都大東京
720 名前：login:Penguin mailto:sage [2008/02/27(水) 01:17:58 ID:1DvYGSv9]: まあ一回行ってみりゃわかりますよ。

もっとお手軽に行ければ自腹参加するんだが…
721 名前：デムパゆんゆん [2008/03/03(月) 21:06:19 ID:OIAumudR]: >>720
それなりに収穫あった
とりあえずSUNの中の人にｺﾞﾙｧ!!!出来たから万歳
しかし、人が多かった
上野で声かけられるしなぁ　ホームレスと思われたみたいだ
おっかねぇ町だ
722 名前：login:Penguin mailto:sage [2008/03/03(月) 23:18:59 ID:ktQ1pfWh]: INSTALL くらいいれてほしいのだ
723 名前：デムパゆんゆん [2008/03/03(月) 23:56:45 ID:OIAumudR]: 入れてやるから足開けよ

しかしTOMOYO linuxがいつのまにか鳥になっていそうな勢いだな
ツルボがTOMOYOに

あれ　家に誰か来たようだ
724 名前：login:Penguin mailto:sage [2008/03/04(火) 14:51:39 ID:UNaE2kKe]: 名称をtomoyoでなく、tomoyolinuxにしたのはなぜなんでしょうか？
自分は、最初ディストリかと思いました
725 名前：login:Penguin [2008/03/04(火) 18:59:52 ID:Xm/n3It9]: ツルボって何？
726 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/04(火) 23:08:43 ID:+p3Q60Ul]: >725
「ツ」「ル」「ボ」とローマ字で書いてじっと眺めているとわかるかも。
727 名前：login:Penguin mailto:sage [2008/03/04(火) 23:32:55 ID:SYO2w67u]: リリースのアーカイブの構成はもう少しどうにかならないですか?

COPYING とか INSTALL とかないし…。 ./ に展開されてしまうのもちょっと…。
728 名前：login:Penguin mailto:sage [2008/03/05(水) 01:23:29 ID:TJzYPH0L]: kernel の config 用の説明はもう少し簡略にしてもよくない?
SAKURA のもともとの意味とか冗長だと思う。
729 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/05(水) 06:38:31 ID:wb+X54kg]: 以前もここにあった書き込みを参考にしてリリース内容を変更しました。
問題点や改善の提案、意見があれば727,728のようにお知らせください。
その際できるだけ具体的なほうが助かります。
反映した場合はtomoyo-users, tomoyo-devで報告しますが、ここで提案
されたものはここにも報告します。
730 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/05(水) 07:56:43 ID:wb+X54kg]: >716
記事を書き始めました。
書き上げたら掲載してもらうところをあたってみます。
731 名前：login:Penguin mailto:sage [2008/03/05(水) 17:28:30 ID:3/YYA17u]: turboのことか。
732 名前：login:Penguin mailto:sage [2008/03/05(水) 19:13:54 ID:U7v281x9]: tomoyoってどこで使われてるの？
使用実績とかそういうの
733 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/06(木) 00:25:24 ID:z/SzlC/D]: >732
それはとても興味があることなのですが、ユーザ登録もライセンス契約も
しないで使えてしまうため実績はプロジェクト側ではわからないのです。
（tomoyoに限らず他のOSSもそうだと思います）
逆に使ってもらって報告してもらうと喜んでプロジェクトwikiとかに
掲載しちゃいます。直接ではないですが、多少関係する情報を紹介します。
ttp://www.nisc.go.jp/inquiry/index.html
ttp://sourceforge.jp/projects/tomoyo/document/osr20060515.pdf/ja/1/osr20060515.pdf
734 名前：デムパゆんゆん [2008/03/06(木) 00:52:20 ID:/d7sQRDx]: >>733
うっすらと防衛システムやってまつ。みたいでこわひよﾏﾏﾝ
しんぞ～が叫んでいた日本版ＣＩＡの一片をかいまみますた
こわひので潜行しまつ　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
735 名前：login:Penguin [2008/03/06(木) 18:23:28 ID:GsCrFK3g]: 活動再開。
とりあえず、LKMLの整理から。
736 名前：login:Penguin mailto:sage [2008/03/06(木) 21:41:53 ID:0AVtMOE9]: Ubuntu Server版 + TOMOYOのisoイメージって作成されないの？
737 名前：login:Penguin mailto:sage [2008/03/07(金) 00:28:58 ID:wy4uBxaY]: TOMOYOのリリースっていろんなディストロ用のパッチが入ってるけど意味あるの?
738 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:10:28 ID:c7Zdx7fz]: >737
カーネルバージョンが同じでもディストロごとに使用している
カーネルソースは異なり（修正されており）、
vanillaカーネルのパッチはそのままではあたりません。
そこでコンパイル済みパッケージではなく、自分でビルドする人
ttp://tomoyo.sourceforge.jp/ja/1.5.x/compile.html
のためにわかる範囲で各ディストロ用のパッチを提供しているわけです。
ということで答えになっていますか。
739 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:15:28 ID:c7Zdx7fz]: >735
復帰おめでとうございます。
LKMLはその後大きな動きはありません。セキュリティゴールを
投稿し、vfsmount部分のみを切り出して提案したというのが
主な内容ですが、それらの結果新たな動きはでていません。
LKML提案については、
ttp://elinux.org/TomoyoLinux#Mainline
にインデックスを置いていますから利用ください。
公表はしていませんが、FOSDEM前にAppArmorの人に「合同で
OLSの投稿をしませんか？」と提案しましたが、その際
AppArmorもvfsmount部分を切り出して投稿しようとしていたことが
わかったので、「多分効果ないですよ」とコメントしました。
740 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:18:52 ID:c7Zdx7fz]: gentooの方がebuildを作成してくださいました。
ttp://ebuild.gentoo.gr.jp/view.php?cat=sys-kernel&app=ccs-sources&visible=
ttp://ebuild.gentoo.gr.jp/view.php?cat=sys-apps&app=ccs-tools&visible=
各ディストロ用のパッケージ作成について協力いただける方を募集しています。
741 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:29:33 ID:c7Zdx7fz]: >720
OSC2008/Tokyoの講演資料、講演動画など公開されています。
はてなのキーワードから参照ください。
ttp://d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099
ブースと講演にきていただいた方々ありがとうございました。
デムパ君もきていたようですが、デムパ君は現実世界では
電波を出していないので今回もプロジェクトメンバーは識別できませんでした（笑）。
742 名前：login:Penguin mailto:sage [2008/03/07(金) 08:35:31 ID:wy4uBxaY]: >>738
うーむ、なんといいますか、 vanilla のパッチでも問題なくパッチがあたるも
のに対しても一つずつパッチを発行しているように見うけられるのです。

それは中の人の手間がかかりすぎるのではないかなぁ、と。
743 名前：デムパゆんゆん再浮上 [2008/03/07(金) 21:19:35 ID:Da+wBUIs]: >>742
以前自分も同じ様なこと書いたが、
まぁなんだ　糞ハードでコンパイルするとだな
時間がかかるわけで　armとか　アルマジロとか大変でつ
プロジェクト自体組み込み分野意識しているふいんきでつね

ちなみにパッチ当て
このedoraみたいなうｐだてすると
ハングしちゃうような鳥で　もぅパッチ当てｲﾔとか
特定のバージョンの鳥とか　ありまつか？
一台空きが出そうでつ
しかしパッチ当ててreject出たら直せませんｗ
厳冬はｗ

>>741
リアル電波人間の方が多かったので存在感なかったでつ
ふと思ったのは仮にメインラインに入ったとして
その先の視点はあるのでせうか？

打倒ＮＳＡ!!!　鬼畜米英を排除するﾆﾀﾞ!!!とか
上にあったNISCでせきゅりちぃＯＳとして
防衛システムに耐えられるのか?とか
うん　ＣＴＵみたいだ　ﾌﾟﾌﾟｯﾋﾟﾌﾟ～
それでふぁ　再潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
744 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 22:18:21 ID:c7Zdx7fz]: >743
>>その先の視点はあるのでせうか？
おととい某社で同じことを言われました。

ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
745 名前：デムパゆんゆん再浮上 [2008/03/11(火) 22:35:22 ID:CxtQ3FtA]: >>744
なんとなく言ってみたのが
なんと某社でも同じ事言う人いたのですね
「上司の早く結果お出せ！」　言ってるみたいだ
ごめんよ　ジャック　　トニーがシーズン７で復活だ
交代でつ　でふぁ　潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
746 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/11(火) 23:24:13 ID:zv95Uvxy]: トニーが復活？そんなことアルメイダ・・・。ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
ELC2008、2年連続でつ。でふぁ。ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
747 名前：login:Penguin mailto:sage [2008/03/19(水) 14:40:24 ID:FJ24G3gB]: linux-users に TOMOYO が原因ぽく見えるもので困ってる人がいるけど、いまいち対処がわからない。
748 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/19(水) 23:20:44 ID:x1kDdHhS]: 対処の前に何が起こっているのかが見えません。

"Not activating Mandatory ..."を表示しているのは、確かに
TOMOYOパッチですが、それは"/.initが存在しないからMACを有効にしないよ"
と言っているわけで、それなのにもし何かを制御しているとしたらおかしい。

何らかの理由により（そんなことないよな・・・）MACが有効になっていたと
しても、rebootなどのコマンド「だけ」が実行できなくなるような
状況（＝そうしたポリシーが定義されている状態）はさらにおかしい。

/.initがないことは確認済みなので、TOMOYOは有効になっていないと
考えるのが自然で、そうすると「再起動ができない」と言っている部分を
調べてみる必要があるので質問中。
749 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 00:27:30 ID:DeMn8tFr]: >747
再起動のコマンドの実行が「拒否」されるわけではなくて、
「コマンド自体は通常に実行できるが、システムが終了しない」というのが
症状でした。原因は不明で熊猫先生はデッドロックの可能を示唆しています。
750 名前：login:Penguin [2008/03/20(木) 09:33:38 ID:uHEaUbK8]: TOMOYO初心者ユーザです。
質問があるのですが、skypeをkdm環境から立ち上げるのccs-editpolicyで制御したとしても、
gdm環境等から立ち上げることは出来てしまうのでしょうか。

例えば、kdm環境の場合のドメインは、以下のように設定しています。

<kernel> /etc/init.d/kdm /sbin/start-stop-daemon /usr/bin/kdm
/etc/kde3/kdm/Xsession /usr/bin/ssh-agent /usr/bin/dbus-launch /bin/sh
/usr/bin/startkde /usr/bin/start_kdeinit_wrapper
/usr/bin/start_kdeinit /usr/bin/kdeinit /usr/bin/skype

しかし、startrxでXを立ち上げた場合は、以下のようなドメインは許可されてしまうのでしょうか。

<kernel> /sbin/getty /bin/login /bin/bash /usr/bin/startx
/usr/bin/xinit /bin/sh /usr/bin/ssh-agent /usr/bin/dbus-launch
/usr/bin/seahorse-agent /bin/sh /usr/bin/gnome-session
/usr/bin/gnome-panel /usr/bin/skype
751 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 11:26:54 ID:DeMn8tFr]: こんにちは。TOMOYO Linuxはデフォルトでは起動履歴が異なるものは
別ドメインとして扱います。したがって上記2つは独立なドメインなので
それぞれアクセスを定義しないといけません。
しかし、/usr/bin/skypeについて「どのように起動されていても
同じように扱いたい（1つのドメインとして扱いたい）」場合は、
initialize_domainとして登録しておくことにより、上記2つ以外を
含め、/usr/bin/skypeをひとつのドメインとして例外的に扱えます。
詳しくは、下記を参照ください（またわからなければお気軽に質問ください）。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/policy-reference.html
752 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 11:31:11 ID:DeMn8tFr]: もうひとつのやり方は、kdmのほうで定義したポリシーを該当するgdmの
ドメインの部分にエディタで貼り付けても同じです。一度savepolicyで
保存したポリシーはプレインテキストですから、viでもemacsでも
該当する部分を見つけて複写するのは簡単です。

TOMOYOでは標準（デフォルト）の状態で、ドメインを細かく（自動的に）
定義しますから、それを支障のない範囲で統合するというのが
ポリシーのチューニングになります。それに対して、SELinuxなどでは
ドメインの定義を細かくしたければ、リファレンスポリシーを自分で
再定義して分割する形になるはずで、考え方や使い方が異なります。
753 名前：750 mailto:sage [2008/03/20(木) 12:29:18 ID:uHEaUbK8]: >>749
ありがとうございます。
例えば、/home/hoge/.Skype 直下にのみrwを許可する場合は、
こういう風に書けばいいのでしょうか。

--(exception_policy.conf)------------
initialize_domain /usr/bin/skype
-------------------------------------

--(domain_policy.conf)---------------
<kernel> /usr/bin/skype
/use_profile 3

6 /home/hoge/.Skype/\*
-------------------------------------
754 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 13:18:50 ID:DeMn8tFr]: >>753
initialize_domainはそれでOKです。これを記述するファイルが
exception_policy.confなのは、「ポリシーの扱いを例外的に標準とは
違うやり方」で扱うからです。
domain_policy.confですが、use_profileの前の"/"は不要（間違い）ですし、
手順としては、(1)まずinitilizeの効果を確認し、(2)そのドメインで学習させる、
(3)学習結果を見てチューニング、(4)作成したポリシーで確認を行い、
(5)最後にエンフォースです。（別にこの通りでなくても良いですが）
755 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 13:27:43 ID:DeMn8tFr]: ポリシーのチューニングについて、Software Design連載の3月号の
内容が参考になります。Wiki化されています。
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-3
756 名前：750 mailto:sage [2008/03/20(木) 14:11:56 ID:uHEaUbK8]: >>754-755
なるほど、ご教授ありがとうございます。
しかし、

- 全体のプロファイルはゆるめ(1とか2)にしておきたい
- このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい

という場合は、どのようにすればいいでしょうか。
管理者としては、学習がちゃんと出来ているかどうかの確認と、万が一制限がきつ過ぎてサービス停止を起こしてしまったとかが、不安なところなのですが(^^;A
757 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 14:29:54 ID:DeMn8tFr]: >>756
> - 全体のプロファイルはゆるめ(1とか2)にしておきたい
> - このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい
TOMOYO Linuxではドメインごとにプロファイル（動作の内容）を変更
できますから、上記は、initializeしたSkypeのドメインだけを
エンフォースにすれば（エンフォースのprofileに変更すれば）
特に難しいことなく実現できますよ。操作はeditpolicyで、ドメインを
選択して、sを押下、割り当てるプロファイルを入力するだけです。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/tool-editpolicy.html
「不安なところ」についてはごもっともで注意が必要なところです。
ここはひとつ熊猫先生に登場してもらいましょう。
758 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 14:38:09 ID:DeMn8tFr]: >>757
>特に難しいことなく実現できますよ。
このあたりの感覚はLiveCDで試していただくと一番わかりやすいと
思います。LiveCDは全ドメインが学習モードで起動しますから、
シェルのドメインを選んでプロファイルを強制にすると
そのシェルのドメインだけが制限されて他は自由という状態になります
（これは最近よくデモで紹介する内容です）。
ttp://tomoyo.sourceforge.jp/wiki/?TomoyoLive
759 名前：750 mailto:sage [2008/03/20(木) 15:01:20 ID:uHEaUbK8]: > 上記は、initializeしたSkypeのドメインだけを
> エンフォースにすれば（エンフォースのprofileに変更すれば）
> 特に難しいことなく実現できますよ。

なるほど！その手がありましたｗ。
ありがとうございます。

大変恐縮なのですが、その場合は domain_policy.conf に use_profile 3 で
設定すればいいのでしょうか。
760 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 15:18:41 ID:DeMn8tFr]: >>759
editpolicy（あるいはeditpolicy.sh）を使えば、ドメインのところに
カーソルを移動して、「s」を押すとプロンプトがでますから、
「3」のようにするとOKです。（その状態でsavepolicyを実行すると
use_profile 3なconfが保存されます。ただLiveCDは再起動すると
初期化されるのでご注意くださいw）
761 名前：750 mailto:sage [2008/03/20(木) 15:37:58 ID:uHEaUbK8]: >>760
なるほど、色々ありがとうございますm(__)m
762 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 15:46:01 ID:DeMn8tFr]: >>761
いえいえ、どういたしまして。(_ _)
Software Designの最新号に「TOMOYO Linuxの歩き方」という記事が
あるので、そちらも是非参考にしてください。
763 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 16:01:11 ID:DeMn8tFr]: プロファイルの変更について、LiveCDのチュートリアルを参考に紹介して
おきます。LiveCDは実験、練習に最適です。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/1st-step/ubuntu7.10-live/
764 名前：デムパゆんゆん [2008/03/20(木) 23:34:23 ID:f6kDCfqH]: おはぎゃぁ～～～
MLのツルボネタ読んだ。
うｐだてのスクリプトエラーで/.initが入ってないかとも思ったが、
リモートから進入されてないか？ｗという不安が頭をよぎった。
つるぼは時々わけわからんエラーでるからのぅ
何このしばいたろか？みたいな　うｐだてに失敗することもあった。
必要なライブラリが入ってなかったり
いつの間にか依存で一緒になくなってたり
そういやgrub.confとかにinit=/.initだっけ？
アレ書いてないと大変なことにｗ

誰もやってないならｳﾘが発祥ﾆﾀﾞ!と叫べる
linuxぶちあげたリーナスみたく　全力でｵﾚ様仕様だな
うん　OLS2008独演会一本目採用おめ
765 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/21(金) 17:20:10 ID:6zckFVut]: >>764
>うん　OLS2008独演会一本目採用おめ
どうもありがとう。ただ、直接TOMOYOの発表（提案）ではなく、
Linux自体の話になるため少々複雑な心境です。
プロジェクトとしてはあと熊猫先生の2件のうちの1件
(Tutorial)が現在結果待ち。発表予定は既にサイトで確認できます。
SELinuxはやはり強い。
ttp://www.linuxsymposium.org/2008/speakers.php?types=TALK
ttp://www.linuxsymposium.org/2008/speakers.php?types=TUTORIAL
ttp://www.linuxsymposium.org/2008/speakers.php?types=bofs
766 名前：login:Penguin mailto:sage [2008/03/22(土) 00:17:06 ID:I+OQFn9y]: >>765
汝のあるべき姿で語りたいなｗ
767 名前：login:Penguin mailto:sage [2008/03/22(土) 21:02:15 ID:jTH0sfih]: >>765
SELinuxはテンプレ化が進んでるからですかねぇ(と新参者ですが)。
768 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/23(日) 16:59:10 ID:wJIqMRFs]: >>767
昨年と比べてSELinuxが急激に普及したり、使いやすさが大幅に改善されたとは
思えません。またELC, OLSに参加してみて、Linux自体として
特にセキュリティ強化(MAC)に関心が高いともいえない状況であることを
感じました。

そうしたことから今年はSELinuxを含め「個別の実装に関する詳細」や
「個別の機能や仕様を前提としたもの（含むチュートリアル）」は
採用されにくく、運用上の課題やその改善に関するものがメインテーマに
なると予想していました。しかし、考えてみると採択を決めるのは
選考委員会のメンバーですから、たまたま選考メンバー
(ttp://www.linuxsymposium.org/2008/cfp.php)が
興味を持っているか事情通でなければそうした事情は考慮されなくて
普通かもしれません。

そう考えるとSELinuxを使ってみようという人は着実に増えているでしょうし、
ドキュメントやツールなども改善作業が続いていますから、
チュートリアルや（一般向けの次のステップとしての）組み込みなどの
発表が採択されるのはわかります。（長文御免）
769 名前：デムパゆんゆん [2008/03/24(月) 21:41:30 ID:HGnMjrSK]: ttp://itpro.nikkeibp.co.jp/article/NEWS/20080320/296641/?ST=oss
こんなもの発見　NISC万歳
ＢＳＤのようにwheelグループに所属させないと　suできないとか
ともよﾀﾝでパス管理する
ただ管理するだけでなくもう一段深く逝っちゃったみたいな
一種の仮想化だな　chroot環境みたいな
wheelグループに所属したユーザtomoyoからなら/dev/sdc1が見える
普通に/dev/sdc1と打ってもそんなファイルないﾆﾀﾞ!!!とか

リモートから　/dev/sdc1のＣＤドライブにアクセスしても出来ない
パスの拒否と言うよりは　登録されたパスのみ許可
山田びみょーにニュアンスが違う
うん　アレだ　昨日レンタルで借りたダイハードに感化されちまぅこの頃
ネットワークもだな
仮想化すると　スクランブル発信の衛星電話でトニーと会話が出来ちゃうかな
攻撃は外からでなく中からも意識汁！とシーズン３で学習した
ジャックとかトニーとか　なんだこの２ちゃん脳は
www.foxjapan.com/tv/bangumi/24
シーズン１からがんばってレンタルしてみる
小春日和　更なる電波が脳内で飛散中　うむ
770 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 06:48:45 ID:RbKuLlro]: >>769
>こんなもの発見　NISC万歳
この写真は何か変です（笑）が、BitVisorは用途によっては面白い
使い方ができると思います。
>攻撃は外からでなく中からも意識汁！とシーズン３で学習した
誰にでも権限を与えるわけにはいかないが、ジャックに権限を与えないと
解決しない。与えて良い相手に与えるべきときに権限を与えることが
できるのが理想だが現実は・・・。そのように見ると24は実に味わい深いデス。
771 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 06:50:58 ID:RbKuLlro]: 768と769を見て、やっぱり2ちゃんに長文は良くない（合わない）と思いました。
それはともかく、SF.jpのtomoyoプロジェクトの月間pvがついに名前騒ぎの時の
記録を更新しました。
ttp://sourceforge.jp/project/stats/index.php?report=months&group_id=1973
772 名前：login:Penguin mailto:sage [2008/03/25(火) 11:01:00 ID:xBK01x+J]: > それはともかく、SF.jpのtomoyoプロジェクトの月間pvがついに名前騒ぎの時の
> 記録を更新しました。

オメ
773 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 18:59:16 ID:QRHjGLzC]: >>772
ガト!
774 名前：login:Penguin mailto:sage [2008/03/25(火) 21:46:58 ID:DkOcBX+S]: 厨な質問なのですが、何故イニシャルドメインだけで学習って出来ないんだろう。。
フルパス(？)ドメインでなくてもいい気がするんですが。
775 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 22:56:14 ID:RbKuLlro]: >>774
<kernel> /somewhere/foo /anywhere/bar の代わりに
<kernel> foo bar で、ということですか？
776 名前：login:Penguin mailto:sage [2008/03/25(火) 23:15:14 ID:DkOcBX+S]: >>775
> >>774
> <kernel> /somewhere/foo /anywhere/bar の代わりに
> <kernel> foo bar で、ということですか？

そうですね。いっそのこと、

<kernel> * /usr/bin/skype *

とかはダメ？ｗ
777 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 23:41:35 ID:RbKuLlro]: >>776
もし、「どんな順番で起動されたかにかかわらず/usr/bin/skypeおよびそれから
起動されたプロセスをひとつのドメインとして扱いたい（ゴルァ）」という意味で
あれば、それは既に現在の仕様で対応できていますよ。(^-^)v
778 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 23:46:18 ID:RbKuLlro]: それは要素としては、
・「（起動順番にかかわらず）とにかく/usr/bin/skypeをドメインにする」
・「/usr/bin/skypeが他のプログラムを実行(exec)してもドメインを分けない」
ということですが、initialize_domain, keep_domainがそのための指定です。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/policy-reference.html
779 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/26(水) 00:01:46 ID:RbKuLlro]: もしskypeだけでなくすべてのプログラムを履歴なしにフラットに
扱いたければ、AppArmorはそのようになっています。ただ、
容易に想像できるように「すべてのプログラム」のポリシー（プロファイル）
が提供されているわけではありません。
780 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/26(水) 00:11:12 ID:gHPNZ0WQ]: ドメイン遷移は図があったほうがわかりやすいですね。ということで
今日はここまで。
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-3
781 名前：775 mailto:sage [2008/03/26(水) 10:06:33 ID:FOAtd5Rg]: >>780
ありがとうございます！無事、initialize_domain設定したskypeのdomain_policyを学習させることが
出来ました。行が長いので、base64でエンコードさせて頂きました。

LS0oL2V0Yy9jY3MvZG9tYWluX3BvbGljeS5jb25mpM6w7Mn0IKSzpLOkq6TpKS0tLS0tLS0tLS0t
LQo8a2VybmVsPiAvdXNyL2Jpbi9za3lwZQp1c2VfcHJvZmlsZSAyCgo0IC9kZXYvdXJhbmRvbQo0
IC9ldGMvWDExL2N1cnNvcnMvXCoKNCAvZXRjL2ZvbnRzL1wqCjQgL2V0Yy9mb250cy9jb25mLmF2
YWlsL1wqCjQgL2V0Yy9mb250cy9jb25mLmQvXCoKNCAvZXRjL2ZvbnRzL2NvbmYuZC90dGYtYXJw
aGljLXVtaW5nCjQgL2V0Yy9mb250cy9mb250cy5jb25mCjQgL2V0Yy9nYWkuY29uZgo0IC9ldGMv
Z3JvdXAKNCAvZXRjL2hvc3RuYW1lCjQgL2V0Yy9pc3N1ZQo0IC9ldGMvbnNzd2l0Y2guY29uZgo0
IC9ldGMvcGFzc3dkCjQgL2V0Yy9yZXNvbHYuY29uZgo0IC9ldGMvc2VsaW51eC9jb25maWcKNCAv
aG9tZS9cKi8uSUNFYXV0aG9yaXR5CjQgL2hvbWUvXCovLlhhdXRob3JpdHkKNCAvaG9tZS9cKi8u
Y29uZmlnL1Ryb2xsdGVjaC5jb25mCjQgL2hvbWUvXCovLmZvbnRzLmNvbmYKNCAvcHJvYy9cJC9j
bWRsaW5lCjQgL3Byb2MvY3B1aW5mbwo0IC9wcm9jL3N0YXQKNCAvdXNyL2xpYi9cKgo0IC91c3Iv
bGliL2djb252L1wqCjQgL3Vzci9saWIvcXQ0L3BsdWdpbnMvaW1hZ2Vmb3JtYXRzL1wqCjQgL3Vz
ci9zaGFyZS9YMTEvbG9jYWxlL1wqCjQgL3Vzci9zaGFyZS9hbHNhL1wqCjQgL3Vzci9zaGFyZS9h
bHNhL1wqL1wqCjQgL3Vzci9zaGFyZS9mb250cy9cKi9cKi9cKgo0IC91c3Ivc2hhcmUvaWNvbnMv
XCoKNCAvdXNyL3NoYXJlL2ljb25zL1wqL1wqCjQgL3Vzci9zaGFyZS9pY29ucy9cKi9cKi9cKgo0
IC91c3Ivc2hhcmUvc2t5cGUvXCoKNCAvdXNyL3NoYXJlL3NreXBlL1wqL1wqCjQgL3Zhci9jYWNo
782 名前：775 mailto:sage [2008/03/26(水) 10:07:14 ID:FOAtd5Rg]: (>781の続き)
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783 名前：login:Penguin mailto:sage [2008/03/26(水) 12:41:32 ID:FOAtd5Rg]: ちょっと思ったのですが/etc/xinet.d/* のように、
配置できると嬉しいかなぁと思いました。
素人ですが^^

/etc/ccs/domain.d/skype.conf
784 名前：デムパゆんゆん [2008/03/27(木) 00:07:15 ID:4Ic0r+jb]: >>780
＞今日はここまで。
そう言わずにもう一軒　ええ店見つけましてん。
785 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/27(木) 01:27:26 ID:GkuWGSy/]: >775
ポリシー設定ありがとうございました。
開発メンバーに見てもらいましたが、特に問題なく良い設定とのコメントでした。
こうした例を公開する場所があると良いかもしれませんね。
786 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/27(木) 01:35:59 ID:GkuWGSy/]: >>783
面白いアイデアと思い開発メンバーに紹介しましたが、どうも
今ひとつくいつきがよくありませんでした。
ただ、loadpolicyコマンドを使えば、ポリシーの（追加）読み込みが
できますから、skype.confのように分割されたポリシー定義を
読み込ませるようなスクリプトを書けば、現仕様のまま実現できます。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/tools-doc.html
787 名前：775 mailto:sage [2008/03/27(木) 14:35:51 ID:36/2jW14]: >>785
あ、そのプロファイルは自分の暫定的なものです^^。

>>786
なるほどです。ありがとうございます。
788 名前：login:Penguin [2008/03/27(木) 22:15:54 ID:aUlsUaZR]: インストールしましたが
全然「ほえ～」でもなければ「はにゃ～ん」でもありませんでした

なにか設定が間違っているのでしょうか？？
789 名前：login:Penguin mailto:sage [2008/03/27(木) 22:41:13 ID:LLacTuUH]: >>788
確かtcshをインストールしないと
790 名前：login:Penguin mailto:sage [2008/03/27(木) 23:32:29 ID:aUlsUaZR]: >>789
ググってもＨＰ見てもなんかよくわかりませんでした

ｋｗｓｋお願いします　＞＜　ヒントだけでも
791 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/27(木) 23:46:38 ID:GkuWGSy/]: >>788
設定というよりは板が違っています（合掌）。

>>790
多分、下のようなことかな？
ttp://www1.linkclub.or.jp/~zhidao/zlab/computing/tcshjacatalog.html

しかし、これはTOMOYO Linuxの機能ではないので、そこのところよろしく (--;
792 名前：login:Penguin mailto:sage [2008/03/28(金) 00:21:02 ID:Xn8XQWtD]: ほえ～
なんとなくわかりました

もともとそういうのじゃなかったんですね　＞＜
793 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/28(金) 00:33:42 ID:LvZYfaJl]: >>792
まぎらわしくてすみません。(_ _)
誰も読んでいないと言われていますが、一応FAQもあります。
ttp://tomoyo.sourceforge.jp/wiki/?QandA
これも何かの縁ということで、良ければまた遊びにきてください。
794 名前：login:Penguin mailto:sage [2008/03/31(月) 19:15:11 ID:rAd33tqq]: tcshカタログの話題はUnix板でということなのか、
CCさくら板行けということなのか、激しく迷いますな
795 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/31(月) 22:47:53 ID:QQCeYF87]: >>794
>激しく迷いますな
私が2chで読んでいる板はここだけで、実は他にどんな板があるか
さっぱりわかっていません。なのでどんな板が良いというコメントはできないのです。
なお、言いたかったのは、「探しているものはここ（この板）にはありませんよ
（時間をかけて探しても見つかりませんよ）」という意味です。
796 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/08(火) 22:11:01 ID:+7lkCNUj]: 4/4に7度目のLKML提案を行いました。Stephenから「どういうつもりだ？」と
いう励ましのメール（私信）をもらいました。
ついにSELinux陣営あるいはNSAと決着をつけるときがきたのかもしれません。
これから戦いを始めます。
797 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/08(火) 22:14:11 ID:+7lkCNUj]: TOMOYOのメインライン提案のスレッドは、
ttp://elinux.org/TomoyoLinux
ttp://tomoyo.sourceforge.jp/wiki-e/?WhatIs#mainlining
あたりからたどってください。

逝ってきます。
798 名前：デムパゆんゆん [2008/04/10(木) 03:44:28 ID:zrE8TllQ]: 大本営ﾊﾋﾟｮｰ
硫黄島の決戦でつか　
栗林中将でつね　4月４日は真珠湾の奇襲のようでもありまつ
ﾄﾗﾄﾗﾄﾗでつね
中将殿に武運長久
天皇陛下万歳!!!
799 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/10(木) 06:31:25 ID:tRh1J33s]: >>798
>4月４日は真珠湾の奇襲のようでもありまつ
言われてみれば確かにそうなのです。さすがデムパ君でつね。
4/9の投稿は、さりげなくこれまでの歩みをアピールしているのが
ポイントでつ。「ちゃんとやってきているからいれてほすぃ」と
せつせつと訴えていまつ。PacSecもFOSDEMも実はいつかこうして
NSAに宣戦布告をするときのための準備だったのでつ。壮大な計画で、
大石内蔵助なのでつ。この意味がわかれば、デムパ君の電波も相当でつ。
ここからは大きな失敗をしなければ勝てるはずでつ。
でふぁ
800 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/10(木) 06:34:36 ID:tRh1J33s]: TOMOYO Linuxの今までの経緯をわかつて読めば、
今のLKMLのスレッドはとてつもなく面白いのでつ
（やってるほうは大変なのでつが）。
巨大な陰○との最終決戦でつ。
801 名前：login:Penguin [2008/04/10(木) 08:48:39 ID:MSodk0Ja]: またサボってしまった（汗＆謎

書き、書き、理解。
802 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/12(土) 07:48:15 ID:z8OrFnDV]: 4/4のLKMLへの投稿について、おそらく初めてStephenからレスが
ついていますが、その他に私信で、「なにやってるんだ？」という
内容のメールをもらいました。
LKMLでは今もStephenとのやりとりが続いていますが、彼はそれとは別に
私信でも熊猫先生に提案について意見、助言をしてくれています。
「手伝って」くれています。
4/4の投稿については、Andrew Mortonからも熊猫先生に私信が届いています。
803 名前：デムパゆんゆん [2008/04/12(土) 10:06:32 ID:5715pAtk]: 思考停止逆切れ作戦なのかマヂなのか　ﾜﾛﾀ
大量パッチ放火
ん？
SELinuxがあるだろ常孝
LSMいらんだろ常孝
長文うぜ～
お茶飲む?
なんだよ　２ちゃん脳ばっかりぢゃないかw
今までカーネルセキュリティー全力で逃げてたしな
神様とかアランとか　LSMの時も全力で後ろ向いて
ｦﾚ忙しいし　うん　ちょっとトイレとか
うん　ぢゃぁ　入れる　といやいや入れてた記憶がある
ポールの思考停止いいねいいね　ツンデレなのか　ひねくれてんのか
記憶は捏造できる　ﾌﾌﾝ
804 名前：login:Penguin mailto:sage [2008/04/15(火) 01:21:37 ID:DYlit/aQ]: >>799
別にその辺で喋ったからどうこうつうのはあまり関係ないと思うわけで。
その結果えらい人が興味を持って味方してくれれば別なんだけど。
# 俺が外で喋るのは入れてもらってからなんでよくわからん。

まあとりあえず今のは既存コードへの影響がでかすぎて、レビューすら
やってもらえん状態じゃないかと。
805 名前：login:Penguin mailto:sage [2008/04/15(火) 01:27:21 ID:DYlit/aQ]: >>803
えらい人はそういうのに興味がない＆よくわからんので関わり合いを避けたい。
というのが本音なのでつ。

なのでLSMという壁を作って、セキュリティのことは壁の向こうで話し合えや。
LKMLに持ってくるんじゃねえ。てことにしたのでつ。
806 名前：デムパゆんゆん [2008/04/15(火) 02:16:30 ID:gc7ozife]: >>805
やるなら今しかねぇｗ
誰だって面倒なことしたくね～　　　ｦﾚもだ　　　正直面倒

＞まあとりあえず今のは既存コードへの影響がでかすぎて、レビューすら
＞やってもらえん状態じゃないかと。
激しく同感　返信の中にＬＳＭの中でやってくれないかとかあったし
本体に影響しない仕様変更とか出来ないなら
ＬＳＭの仕様変更とか　結局メンテナの負担だわな
つかＬＳＭの人がずっと思考停止ｗ　ともよ？　ｲﾗﾈだし
807 名前：login:Penguin [2008/04/15(火) 03:16:42 ID:NNSBLErA]: selinuxに挫折したオレ
サルでもわかるTOMOYOってどこかにない？
808 名前：login:Penguin mailto:sage [2008/04/16(水) 00:02:58 ID:aGXleYF5]: >>807
TOMOYOはSE Linuxと比較したら解りやすいと思う
多分必要なのはMACやアクセス権、システムコールって何？といった知識だと思う
LiveCDで学習モードのまま眺めてればなるほどと思うかも
ttp://tomoyo.sourceforge.jp/wiki/?TomoyoLive
809 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 01:03:29 ID:PeDWAeKt]: >>807
ツルボから始めてみるのはどうかな？
インスコしたり試すのはツルボでなく他の鳥でもできるけれど
ツルボだと、鳥をつくっているチームとTOMOYOチームが合同で
作ったポリシー（サポート不要なら参照は無料）があるから、そこから
始めてみるには良いと思う。
ttp://www.turbolinux.co.jp/products/server/11s-tomoyolinux.html
810 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 01:08:15 ID:PeDWAeKt]: >>808
>LiveCDで学習モードのまま眺めてればなるほどと思うかも
確かに。先日LiveCDのポリシーをlxrにあげますた。
ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source/ubuntu-7.10-ccs-1.5.3/domain_policy.conf?v=policy-sample
811 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 01:15:39 ID:PeDWAeKt]: 隊長、報告が遅くなりまつたが、ELC2008会場に潜入しますた！
Henry Kingmanのキーノートが始まっていまつ。英語です。（笑）
今のところ敵の姿はありません。
何かあれば、どこよりも早くここで報告します。でふぁ
812 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 02:59:53 ID:PeDWAeKt]: 隊長、TOMOYOセッションについて報告します。
講演用のPCが前日起動しなくなり、システムの復元を行い本番に
備えましたが、講演直前の５分前に再び不調、バックアップ機を
用意しましたが、そちらも原因不明で起動しないという
ありえないほど過酷な状況の中、なんとか本番直前に復帰、講演を完遂しますた。
参加者は約２０名、主な質疑はポリシーの記法に関する内容と
初期設定を行うためのツールの有無、CPUアーキテクチャ依存でした。
813 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 06:41:01 ID:PeDWAeKt]: LWN.netのJake Edgeの講演が終わりました。
"Avoiding Web Applications Flaws in Embedded Devices"というタイトル
ですが、既に資料が公開されています（TOMOYOの名前もでてきます）。
ttp://lwn.net/talks/elc2008/img0.html

といっている間に、中村さんの講演が始まりました。
814 名前：login:Penguin mailto:sage [2008/04/16(水) 07:00:47 ID:aGXleYF5]: おはようございます。

Jakeのプレゼン資料を見た限りでは組み込み関係なくWebApplication作成時の注意で
それに加えて組み込み系にありがちなURL固定とか認証サボりがあるから余計に注意しろよーって話みたいですねー
で、TOMOYOがあると必要としないモジュールを洗い出すのに便利っすよみたいな感じで触れたのかしら？
それともPathチェック漏れでもTOMOYOが有れば防げるかもみたいな感じかにゃ？
815 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:14:36 ID:PeDWAeKt]: 説明的には、「こうした技術を使えば、OSレベルで被害を軽減することも
できるようだよ」というくらいの感じでした。正直言って、Jakeはあまりこのあたり（セキュアLinux）に
明るくないように見えました。
816 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:32:41 ID:PeDWAeKt]: 中村さんの発表が終わり、まもなく海外さんの発表が始まります。
今日は初日でつが、夜にはセキュアEmbeddedのBOFもあり、一日に
集中してしまいまつた。時差がこたえまつ。中村さんの発表は、
内容はわかったのですが、もともとTOMOYOであれば実現/対応できていること
ばかりのような気がして、「何故あえて（組み込みで）SELinuxでつか？」と
いう疑問が生じてしまいます。
817 名前：login:Penguin mailto:sage [2008/04/16(水) 07:44:32 ID:aGXleYF5]: >>815
まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。
組み込みじゃないWebApplicationの監査とかやってる人から見れば何を今更な話題なのかも。

悪意のあるユーザーからのリクエストを直接受け付けないから比較的安全と思われてた組み込み形も
ブラウザやらプラグインやらの穴を使ったりしたXSSやらXSRFやらで危険に晒されてるって事が重要なんですよね。多分。

実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにするとWAN側が開いて謎の裏口ID&パスで入れるようになったり(w
一応NTTのメンテナンス用IP帯からしか接続受け付けないようになってるっぽいしデフォルトOFFですが・・・
818 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:50:26 ID:PeDWAeKt]: >>817
>まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。
そうですね。あと、どうしてLWNの人がこの話題なのかなと思いました。
>実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにすると・・・
ルータ（英語の発音だと「ラウター」に近い）はよくやられるという
話がでていました。

海外さんの話が始まりましたが、「そもそもセキュアOSとは」とか
「Protection Profileとは」というところから始めています。(@_@; びっくり
819 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:58:24 ID:PeDWAeKt]: >>816
やはりTOMOYOはまだまだ知られていなくて、組み込み分野を含めて
本当はTOMOYOだとうまく解決できる場合もそれに気づいてもらえていないのか
と思います。そういった意味でもメインライン化はやはりどうしても
なしとげたいです。

会議に出る目的のひとつは、TOMOYOを含めたセキュアOSに対する「温度」を
はかることで、講演の参加者と質疑が参考情報です。今年は昨年よりは確実に
高まっていると思いますが、まだ一部の人という印象です。
820 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:06:02 ID:PeDWAeKt]: さきほど、LXRにversion 1.6.0を追加しました。1.6.0は1.5.3との
差分が大きいため当面は両方とも残しておきます。
ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source/
version 2.Xは、ちょっと中途半端な状態になっているため、
帰国後整理した上で追加します。
821 名前：login:Penguin mailto:sage [2008/04/16(水) 08:09:22 ID:/Z5CkmBk]: TOMOYOじゃなくてYaSELinuxとかにしたら一気に普及してたかもなｗ
822 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:16:16 ID:PeDWAeKt]: >>821
最初は失敗したと思いましたが、なんだかんだ名前が注目されたことにより、
ここまで（メインラインに挑戦できるまで）こられた部分があるように思います。
YaSELinuxだとその点、やや微妙かも。またSELinux陣営が許さないでしょうw
823 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:24:51 ID:PeDWAeKt]: 7回目の提案のスレッドで、こんな図を投稿しています。
ttp://article.gmane.org/gmane.linux.file-systems/22495

AppArmorやTOMOYO Linuxはnamespaceの世界で処理をしていて、
VFSやLSMではinodeの世界です。残念ながらnamespaceの世界は、
その中だけでは完結せず、二つの世界をブリッジするためにvfsmountの
パラメータを渡せるようにしたいというのがoption 1ですが、VFSの
Al Viloがくせ者でウンといいません。optoin 2はそれをせずにフックを
追加「させてもらう」で、4/4の投稿はそのどちらでもなく、LSMとは別の
仕組み（フックセット）を提案した形でいろいろ怒られました。
824 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:30:41 ID:PeDWAeKt]: メインライン化がなかなか進展しない理由のひとつは、メンテナ間の関係が
見えないことにあると思っています。特定のモジュールに閉じた話だと
簡単ですが、このように複数に関わり、かつ発言しないメンテナがいる状態だと
どう進めるかが難しく、あちらたてればこちらたたずというか常に誰かに
反対されます。皆自分のところに自分が必要と思わない変更をしたくないからです。

# 海外さんの発表はついにPOSIX Capabilitiesのページにきました。
825 名前：login:Penguin mailto:sage [2008/04/16(水) 08:43:46 ID:aGXleYF5]: >>818
確かにラウターですね(w
遠い昔、某橋のロゴの中の人がそんな感じの発音してますた。

ルータは設定変更する事でWAN側からLAN側に進入するのに使えますし、
24時間電源が入ってますから攻撃の踏み台としても旨いのでしょうねぇ。
IPアドレスも192.168.*.1辺りでほぼ固定ですし。(0,1,11,2辺りがメジャー)
さらにまずいことに設定の容易化の為に意図的に固定したDNS名とかを付けちゃったりするのでより厄介っすな。
例： NEC "web.setup" I-O "airport" NTT(oki) "ntt.setup"など

TOMOYOが有効なら最悪でもルータ自体に変な卵を植え付けられるのを防げるかな？
# 非正規ファームでシステム全体を乗っ取られた場合を除く

最近のネタだとFlashが接続先を限定しないのを悪用してUPnPを使ってポートを強制解放とかいうネタがありましたな。
UPｎPが信頼したネットワークからの通信のみを想定して認証を捨て、一方通行でもおｋにしたのが仇になったというかなんというか。
# オフトピばっかでごめんよー

>>824
大規模オプソの負の面なんでしょうかね？
GUI周りなんかでもそうですけど、横(プロダクト・モジュール間)の繋がりがよろしくないんですよね。
簡単な例だとカラーマネジメントとか未だにどうなっちょるねんって感じ。
826 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:57:02 ID:PeDWAeKt]: >>825
>TOMOYOが有効なら最悪でもルータ自体に変な卵を植え付けられるのを防げるかな？
鋭いですね。組み込みの場合は、外部不正アクセス全体を神経質にはじくと
いうよりは、特に重要な操作を保護する形が一般的だと思っています。
>大規模オプソの負の面なんでしょうかね？
このあたりは我々にはわからない微妙なメンテナの力関係があるようで、
StephenでもAl Viloに指図はできないようです。おそらくTOMOYO以外でも
複数のメンテナやシステム全体に関わる変更であれば同じようなことが
起きているはず。

Linusが一喝するという解は存在しますが、それを意図的に起こすことは
難しく、だとすると世論？で流れを作るのが現実的かと思っていて、
そのような誘導をしているわけです（深いでしょ？（笑））

/etc/shadowのような各論は、ちゃんと議論したらおそらく負けないのですが、
相手が不特定多数かつ根拠がなかったり感情的な発言をして逃げてしまう人などが
いますし、過去のスレッドを見ても結論がでずにもめて終わるケースが多いと
思っています。白黒つけるにはmlは向いていません。
827 名前：login:Penguin mailto:sage [2008/04/16(水) 09:20:29 ID:aGXleYF5]: >>826
まぁ、彼(Al Viro)の言い分としては俺より上の情報が欲しいならそっちで対応しろって感じかバグとかソース肥大化とかレスポンス低下とかが嫌って感じでしょうかね。
後>>823の絵に現状を追記して如何に歪か強調しておくとか(笑)
例えばこんな感じで ttp://www.imgup.org/iup593994.png.html
# 色々エラソーな事言ってましたがLinuxカーネル周りの理解度が足りてないので変な可能性あり。
828 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 09:27:26 ID:PeDWAeKt]: >>827
楽しい絵をありがとうございました（笑）。
ただ、このあたりの加減が難しくてやりすぎると逆効果になりますし、
ジョークや遊びもはずしてしまうと大変寒い思いをします（経験あり）。
LKMLの発言自体も一種の流儀があって、このごろやっとそれがわかってきました。

Alの場合は、熊猫先生によると「思想、考え方（好き嫌い？）」的な反対
されているようで、まもとな議論すらさせてもらえない状況です。
829 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 09:35:35 ID:PeDWAeKt]: 話は変わって、4/18に発売されるSoftware Designに「TOMOYO Linuxの歩き方（後編）」が
掲載されますが、結構画期的な記事になっています（笑）。
正直、「ちょっと書きすぎた」かもしれません。是非前編と併せてお読みください。
830 名前：デムパゆんゆん円高まんせ～ [2008/04/16(水) 09:41:23 ID:gcOHAMwF]: ＞selinuxに挫折したオレ
＞サルでもわかるTOMOYOってどこかにない？
ってＬＫＭＬに放火していいでつかそうですねだめでつね
なんかスレ伸びてるなぁと思ったら
イラクの自由作戦みたく波状攻撃でつか
別働隊はどこかで攻撃してるのでつね

＞白黒つけるにはmlは向いていません。
そこで、連日罵倒大会絶賛開催中の某巨大掲示板

メンテナの買収だなｗ　金がだめなら女だ
だた様の資金力を持って全力でＬＫＭＬ特攻
ｱﾙﾋﾞﾉの買収はだな　ＬＳＭが出来た頃どういう立場にあったとか
思想信条　背景調べて　うん
ちょっとＣＴＵ逝って来る
831 名前：login:Penguin mailto:sage [2008/04/16(水) 09:47:29 ID:aGXleYF5]: 今更ですけど、私はLSM周りの議論も追いかけ切れてないしTOMOYOのソースも把握してない一般＆初心者ユーザーよりの名無しさんなのでスルーしたほうがよい事もあります。
# TOMOYOの上層での概念(名前空間によるMAC)を理解して、こう動いてるだろうというのを妄想しているだけです。
## どうやらこの名無しさんはブラックボックステストのやりすぎで妄想屋さんになっちゃったようです。

あの絵を更にプレゼンぽくするならAppArmorやTOMOYOの箱をLSMの箱から飛び出させてnamespace空間辺りから矢印を引っ張る手もありますな。
後Before/AfterみたいにしてAlが対応してくれたらスッキリするんだよっという点を強調したりとか。
まぁ、Al Viro氏と直接関係するのはLSM全体のChris Wright氏のようなのでChris氏経由になるでしょうが。

ただ、>>828によると思想で好き嫌いっぽいし場の雰囲気も商談(?)とは違うっぽいのでなかなか厳しいですかね。
気分屋さんとお付き合いするのは私は苦手だなー

>>829
試しに前編読んで役立ちそうなら買ってみますー。まだ残ってるかなぁ？
なければ図書館で複写サービスのお世話になりますか。

とにもかくにも色々頑張ってください。
# 俺も頑張らなきゃー
832 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 10:39:12 ID:PeDWAeKt]: >>830
>なんかスレ伸びてるなぁと思ったら
本当は到着初日からレポートする予定でしたが、ホテルのネットワークから
だと規制されていて書き込みができなかったのです。
>そこで、連日罵倒大会絶賛開催中の某巨大掲示板
ここにいろいろ書いているのは、なんとなく書いたことが理解されているように
思うからです。日本語的にはいろいろ問題がありますが（笑）、言葉の
はしはしにそれを感じます。冗談抜きでこんな感じでLinuxの仕様について
議論できる場があれば良いと思いますよ。
833 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 10:45:35 ID:PeDWAeKt]: >>831
実はあの図は、上に書かれていることを暗黙のうちに主張しています。
メンテナの名前は本来不必要ですが、いれているのはChrisが何もして
くれないということを訴えていますし、整理された図を見ると
「なんだ、Alがvfsmount受けてやればいいんじゃん」と気づくはずです。

>試しに前編読んで役立ちそうなら買ってみますー。まだ残ってるかなぁ？
少なくともバックナンバーは買えます。(^-^;
前編の内容は各種情報源の紹介で、いわば観光名所の紹介です。この板を
見に来ている人なら半分くらいは既におなじみだと思います。
後編はただ場所ではなく目的ごとの「読み方」を扱っており、そのほか
デラックス付録として「名前の由来」について書いています。と言っても
別に最初から隠しておらずこれまでも機会あるごとに説明した内容ですが。
834 名前：デムパゆんゆん円高まんせ～ [2008/04/16(水) 11:09:01 ID:gcOHAMwF]: よくあるネタ
クリスは置き物で　ｱﾙﾋﾞﾉの後ろにラスボスが
じつわ神であった。　　二人はｱ"ｯｰな関係
スマックやselinuxの中の人はＬＳＭ
どう思ってるのかしらん
セキュア陣営で共同戦線!!!とか
われわれはぁ　断固抗議するアル
抵抗勢力はぶっつぶすとかｗｗ
selinux出てきたときも猛烈な反発あった気が駿河
で、出てきたのが上にもあるようにＬＳＭ通してそっちでやって栗と
835 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 11:36:23 ID:PeDWAeKt]: 「今」こちらの時間で4/14 19:32です。
"security BoF"が始まりましたが、日本人は中村さん、海外さんを
含めて6名、日本人以外は4名という構成です、
と書いていたらMontaVistaのHadiが入ってきて今挨拶をしました（実況中継みたい）。
836 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 11:40:33 ID:PeDWAeKt]: TOMOYOプロジェクトは過去何回かJapan Technical Jamboreeに参加して
いますが、セキュアOSに関する知識や関心は国内はかなり高いと思います。
SELinuxでもSmackでも良いから、国内の組み込みで積極的に導入して、
海外のユーザをリードしていく、くらいだと良いのですが。
837 名前：デムパゆんゆん円高まんせ～ [2008/04/16(水) 18:44:39 ID:gcOHAMwF]: 今頃、ダメリカ特攻隊はサンノゼの空飛んでる夢見てるんでつね
リードするなら釣るネタいりまつ
selinuxにしても現状漠然としたイメージ　わかりやすい事例とか
目立でちょっとしゃちょ～つかまえてだな
協業相手見つけたから　プレス撃てと
selinuxでＯＯ社と協業することに　採用事例もうんぬん
組み込み　STBとかケータイとかかのぅ？
車業界も最近同業他社でモジュール共通化とか　今頃言い出したし
車はカーナビとか　ほとんどWANだ　防御にはいいかしらん？

itproで　linuxのセキュリティー界隈に変化が！　とか記事出して
日経linuxで来月号　緊急増刷　１０ページ追加
linuxのセキュリティーの今！
セキュア陣営を筆頭にlkml新たな動き！
今まで挫折を繰り返したあなた　selinuxがこんなにも簡単に導入！とか
煽って煽ってだな　メディア戦略おけ～ｗｗｗ
それでふぁ　再潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
838 名前：login:Penguin mailto:sage [2008/04/16(水) 23:59:21 ID:JHS2xGmI]: うぅむ…。日常やるコンパイルは監視させたくない(make なんかでドメインが
大増殖するから)けど、 firefox とか skype とかのネットにつながるものの動
きは監視しときたい。とすると、 initialize_domain を連発するしかないのか
なぁ…。
839 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/17(木) 03:27:42 ID:mbLpQzdf]: >>838
initialize_domainの効果は、複数の起動形態を持つものを同一の
ドメインとして扱う、および<kernel>直下のドメインになるということで、
アクセス制御の内容自体とは直接関係しません。
LiveCDでは<kernel>ドメインのみを学習モードのプロファイルとして
定義していますが（この板の上のほうを参照ください）、監視（制御）したい
ドメインを「陽に」制御するプロファイルで書いておくと、やりたいことが
実現できます。（この説明でぴんとこなければまた質問ください）
840 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/17(木) 03:33:10 ID:mbLpQzdf]: さきほどAndrew Mortonのキーノートが終わりました。
生Mortonを至近距離で見ました（笑）が、「なんでも俺に相談しろ
(Ask me!)」と強調されていました。お話しようと思ったのですが、
すぐにたくさんの人に囲まれて（ディズニーランドのミッキー状態）
まだアクセスできていません。がんばります（何を？）
841 名前：login:Penguin mailto:sage [2008/04/17(木) 14:57:07 ID:BWf/C86W]: やっぱり、 initialize_domain連発したくなるよなあ。
842 名前：login:Penguin mailto:sage [2008/04/17(木) 21:54:56 ID:eiQcPVPB]: 一般の用途だとほんとに監視したいのはネットにつながる子が変なことしないか、だけだからねぇ…
843 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 00:46:23 ID:YFqemKaX]: >>841
>>842
initialize_domain連発しても全然問題ないですよ。
「必要なところ（ドメイン）を見極めてしっかり守り、それ以外は
学習、あるいは無効モードで」というのが現実的な運用スタイルだと
思います。
844 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 01:32:28 ID:YFqemKaX]: ttp://lwn.net/SubscriberLink/277833/20faea932562b2aa/
845 名前：login:Penguin mailto:sage [2008/04/18(金) 01:41:32 ID:PtogwsB7]: おお、なかなか興味深い事態に。
846 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 01:51:07 ID:YFqemKaX]: >>845
そう。その通り。
ttp://thread.gmane.org/gmane.linux.kernel.lsm/6042
ttp://d.hatena.ne.jp/himainu/20080417#1208420136
847 名前：LiveCDの中の人 mailto:sage [2008/04/18(金) 02:10:37 ID:YFqemKaX]: >>841
>>842
1つの手段として、
keep_domain <kernel>
してしまってすべてのドメインをデフォルトでわけないようにしておき、
initialize_domain /usr/bin/firefox
initialize_domain /usr/bin/skype
でfirefoxとskypeだけを特別扱いする、という手段があります。

TOMOYOは「すべてのexecで自動的にドメインを分ける」のがデフォルトで、
ユーザが意識せずともアクセス制御の単位を細かく切り分けるのが特徴ですが、
逆にこれが鬱陶しい場合は上記のように思い切ってkeep_domainするのがおすすめです。
（いずれにせよ「分けるのがデフォルト」なので、initialize_domainの連発は必要ですが）
848 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 02:21:35 ID:YFqemKaX]: 以前も書きましたが、「こんなことできないの？」と思いつくような
ことはだいたい実現されているのではないかと思います。
実現されていない場合は、内容を検討して、有用であれば実装されるかも
しれません。

疑問、質問、どんな内容でも良いですから気軽に書き込みください。
849 名前：login:Penguin mailto:sage [2008/04/18(金) 06:11:46 ID:cOa8NbkQ]: ツバサクロニクル系というか魔法剣士系の採用はありますか？
850 名前：login:Penguin mailto:sage [2008/04/18(金) 06:12:25 ID:cOa8NbkQ]: てかMOKONA Linuxはいただいた！
851 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 07:26:18 ID:YFqemKaX]: >>849
「採用はありますか」の意味が不明のため回答不能です。
>>850
てかさしあげようがありません。
>>848
>疑問、質問、どんな内容でも良いですから気軽に書き込みください。

「TOMOYO Linuxに関する疑問、質問」であれば「どんな内容でも」という
ことです。
852 名前：デムパゆんゆん [2008/04/18(金) 23:09:52 ID:VTKRkwhl]: 回答不能でバッファオ～バ～フロ～発生
ばぁぶぅ～
853 名前：login:Penguin mailto:sage [2008/04/18(金) 23:10:32 ID:cOa8NbkQ]: 神が気分を害されたｗ
854 名前：デムパゆんゆん [2008/04/19(土) 00:03:26 ID:ZON2E7Cb]: 気分を害されたのでつね
神様申し訳有馬温泉
どうすれば？　もぅいいクビだ
・・・・・。

職安逝って来る

さて、バッファオ～バ～フロ～でつ
学習モ～ドでふぁログをガリガリと書いていきまつ
禁欲モ～ドでどうなるﾆﾀﾞね
常用環境で試して　どうなろうと僕はしりましぇん
こ～ゆ～のは業界でテストケ～スと課言うんでつか
バッファオ～バ～フロ～起こさせるようなプログラムないか
ちょっとＣＴＵ行ってくる
855 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:19:07 ID:J3xqYE8V]: >>853
気分を害したわけではありません（それ以前に「神様」もないけど）。
基本的にここに書き込んでくれた人には返事をしたいと思っていますが、
「採用」がTOMOYOを使ってみたい、あるいは開発に参加したいの意味か
不明で返答ができなかったということです。

>>851
>「TOMOYO Linuxに関する疑問、質問」であれば「どんな内容でも」という
と書いた意図は、それ以外を書かれると、「返してあげたくても返して
あげられない（心苦しい）」ということです。
856 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:22:59 ID:J3xqYE8V]: >>854
雇ってないので大丈夫です。

>学習モ～ドでふぁログをガリガリと書いていきまつ
>禁欲モ～ドでどうなるﾆﾀﾞね
>常用環境で試して　どうなろうと僕はしりましぇん
サーバはしにましぇん。クラックされてもしにましぇん。

もともと常用環境で使うのが本来なのでつ。禁欲モ～ドでいくには、
ちゃんとぽりすぃ違反を監視して、対処できるようにしておかなければ
いけましぇん
857 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:30:33 ID:J3xqYE8V]: >>854
>常用環境で試して　どうなろうと僕はしりましぇん

ばかやろー
リスクを恐れていてセキュアOSが導入できるか！（ごるぁ）
━━━( ﾟДﾟ)凸━━━ !!

デムパ、逝ってよし！あとは俺たちに任せろ（俺たちって誰だ？）
858 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:33:41 ID:J3xqYE8V]: 自分で書いたものを自分で読んでびっくりかつ自己嫌悪だが、
しかし、本当にそういうことなのだよ。おまいならわかってくれると信じる。
＞デムパ
859 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/20(日) 15:45:22 ID:s3pqM0To]: ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-April/000429.html
LWN.netのJonathanの記事の日本語訳です。
860 名前：login:Penguin mailto:sage [2008/04/20(日) 21:53:04 ID:mkNbjbzD]: ふむぅ…許可ログが溢れる。
何故許可ログが/var/log/tomoyo/reject_log.txtに書き込まれるのじゃろう。

MAX_GRANT_LOG=0にしても書き込まれる。
カーネル再構築の際にMAX_GRANT_LOGの標準値を0にしても書き込まれる。

Vine4.2、TOMOYOタンは1.6.0。
TOMOYOタンが1.5.xの頃は書き込み抑制できたのに…。

我が悪いのか我が悪いのか我が悪いのかorz
861 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/20(日) 21:59:21 ID:s3pqM0To]: >>860
version 1.6では多数の機能追加だけでなく、LKML提案のための
コーディングスタイルの変更が行われており、もしかしたらそれが関係した
デグレードの可能性もあります。

ttp://lists.sourceforge.jp/mailman/archives/tomoyo-dev/2008-April/000791.html

もし可能ならもう少し具体的な情報をお知らせください。
862 名前：デムパゆんゆん [2008/04/21(月) 00:37:12 ID:/9Akzjvg]: >常用環境で試して　どうなろうと僕はしりましぇん
あ、本番環境とかそういうつもりじゃないです。
普段、家で会社でいつも使うという意味の常用です。
網走刑務所のお勤め終わりました。　やっとプロバイダ全規制解除
863 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/21(月) 07:46:38 ID:6Gdqvlo3]: >>862
デムパもどき？？？ (@ @;
864 名前：デムパゆんゆん mailto:sage [2008/04/21(月) 20:35:06 ID:HuS1sRX3]: 10分でまた全規制になりました。
自分は網走でお勤めです。
SD今月号読みました。
神様芥川賞取れそうな文才全開
ｼｰｽﾞﾝ2もみたいｱﾙ。
もどきじゃねぇ本人だ。
ばぶぅ
865 名前：login:Penguin mailto:sage [2008/04/21(月) 21:10:53 ID:coMEImMD]: boincで、wcgしてます。

initialize_domain /usr/bin/boinc_client

をexception_policy.conf

に入れて、

# ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'

たたいても、boinc_clientからforkされる wcg_hpf2_rosetta_5.20_i686-pc-linux-gnu とかは
無視されるんですね。
866 名前：865 mailto:sage [2008/04/21(月) 22:24:43 ID:ys16n8Hu]: 失礼、2だった。
867 名前：860 mailto:sage [2008/04/21(月) 22:28:37 ID:cnfwqPC3]: >>861
ふむぅ…なんとお伝えしたらよいのやら（汗）
取り合えず書き環境どす。

ディス鳥：Vine4.2
コンパイル前uname -a：2.6.16-0vl76.33 #1 SMP Sun Apr 20 20:58:37 JST 2008 i686 i686 i386 GNU/Linux
コンパイル後uname -a：2.6.16-0vl76.33-ccs-1.6.0 #1 SMP Sun Apr 20 20:58:37 JST 2008 i686 i686 i386 GNU/Linux

#apt-get install kernel-source
#cd /usr/src/linux-2.6.16
#wget osdn.dl.sourceforge.jp/tomoyo/30297/ccs-patch-1.6.0-20080401.tar.gz
#tar zxvf ccs-patch-1.6.0-20080401.tar.gz
#patch -sp1 < /patches/ccs-patch-2.6.16-0vl76.33.diff
#cp /boot/config .config
#make oldconfig（→ここでMAX_GRANT_LOGの部分を0）
#make menuconfig（→ここでMAX_GRANT_LOGが0になっていることを確認）
#make -s
#make modules_install
#cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.16-0vl76.33-ccs-1.6.0
#cp System.map System.map-2.6.16-0vl76.33-ccs-1.6.0
#mkinitrd /boot/initrd-2.6.16-0vl76.33-ccs-1.6.0.img 2.6.16-0vl76.33-ccs-1.6.0

カーネル再構築はここまで（後は適度にgrubを修正）。
868 名前：860 mailto:sage [2008/04/21(月) 22:30:36 ID:cnfwqPC3]: 全文記載弾かれたので分けました。
後はccs-toolsをダウンロードしてmake -C ccstools/ all install。

#init_policy.sh --file-only-profile
#echo "/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt" >> /etc/rc.d/rc.local
#mkdir -p /var/log/tomoyo

取り合えず行った作業は上記まで。
その後リブートしたのですが/var/log/tomoyo/reject_log.txtには許可ログがべっとり。
/etc/ccs/profile.confに「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。
loadpolicy -pは実行済み。
その後に再起動かけてもべっとり。

例）
#2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0
<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi
use_profile 0

取り合えず現状こんな感じです。
カーネル再構築自体は成功しています。
拒否モードにするときちんと動作を拒否してくれています。
869 名前：860 mailto:sage [2008/04/21(月) 22:47:56 ID:cnfwqPC3]: ちなみにprofile.confは…

# cat profile.conf
0-COMMENT=-----Disabled Mode-----
0-MAC_FOR_FILE=disabled
0-TOMOYO_VERBOSE=disabled
0-MAX_GRANT_LOG=0
0-RESTRICT_MOUNT=enabled
0-DENY_CONCEAL_MOUNT=enabled
0-RESTRICT_CHROOT=enabled
1-COMMENT=-----Learning Mode-----
1-MAC_FOR_FILE=learning
1-TOMOYO_VERBOSE=disabled
1-MAX_GRANT_LOG=0
1-RESTRICT_MOUNT=enabled
1-DENY_CONCEAL_MOUNT=enabled
1-RESTRICT_CHROOT=enabled
2-COMMENT=-----Permissive Mode-----
2-MAC_FOR_FILE=permissive
2-TOMOYO_VERBOSE=enabled
2-MAX_GRANT_LOG=0
2-RESTRICT_MOUNT=enabled
2-DENY_CONCEAL_MOUNT=enabled
2-RESTRICT_CHROOT=enabled
3-COMMENT=-----Enforcing Mode-----
3-MAC_FOR_FILE=enforcing
3-TOMOYO_VERBOSE=enabled
3-MAX_GRANT_LOG=0
3-RESTRICT_MOUNT=enabled
3-DENY_CONCEAL_MOUNT=enabled
3-RESTRICT_CHROOT=enabled
870 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/21(月) 23:12:29 ID:6Gdqvlo3]: >>865
># ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
# ccs-setprofile -r 2 '<kernel> /usr/bin/boinc_client' です。

参考
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-2
871 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/21(月) 23:19:22 ID:6Gdqvlo3]: >>860
開発メンバーに報告しましたのでしばらくお待ちください。(_ _)
872 名前：デムパゆんゆん mailto:sage [2008/04/22(火) 00:14:46 ID:XsdpoNQq]: 24しますた
873 名前：login:Penguin mailto:sage [2008/04/22(火) 00:35:51 ID:nBaXrVo3]: >>870
> >>865
> ># ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
> # ccs-setprofile -r 2 '<kernel> /usr/bin/boinc_client' です。
>
> 参考
> ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-2

なるほど、失礼致しました。ありがとうございます。
874 名前：login:Penguin [2008/04/22(火) 06:32:31 ID:BZrfz1S8]: >>868
＞/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt
ccs-auditd に渡す２つのパス名の内、
１つめが許可ログ（ポリシーに存在しているアクセス要求のログ）の保存場所、
２つめが拒否ログ（ポリシーに存在していないアクセス要求のログ）の保存場所です。
ですので、拒否ログ（ /var/log/tomoyo/reject_log.txt ）を出力させたくない場合には
＞「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。
ではなく、
「プロファイル番号-MAX_REJECT_LOG=0」を指定ください。

＞#2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0
＞<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi
＞use_profile 0

これは正常なログです。 /bin/bash から /bin/vi が実行されたことにより、
<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi というドメインが
新規作成され、プロファイル番号として 0 が割り当てられたというログです。
1.6.0 では、学習モードを使わなくても拒否ログから学習モードと同等の結果を
得られるようにするために、ドメインが新規作成された時に上記のようなログを
拒否ログとして出力するようになりました。
875 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/22(火) 06:37:19 ID:WnxtELB+]: >>874
>ドメインが新規作成された時に上記のようなログを
拒否ログとして出力するようになりました。
を抑制することはできないのですか？
876 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/22(火) 07:55:46 ID:WnxtELB+]: >>875
1.6のポリシーリファレンスを見る限り現状は対応していないのかしらん
ttp://tomoyo.sourceforge.jp/ja/1.6.x/policy-reference.html
877 名前：login:Penguin mailto:sage [2008/04/22(火) 13:36:16 ID:DRUyJgxS]: Macに対応してみても良いのでは。
878 名前：860 mailto:sage [2008/04/22(火) 21:25:08 ID:e/LuciY4]: >>874
ありゃ…吐き出し方が変わっていたとですか。
学習ログと許可ログをゴッチャにしてたとです。
取り合えず現状この状態が「正常」ということで認識しておきますです。

個人的には>>875も言っておりますが…

学習吐き出し
許可吐き出し
拒否吐き出し

を単体、もしくは組み合わせて吐き出せるような仕様が欲しいのです。
879 名前：デムパゆんゆん [2008/04/23(水) 00:17:07 ID:iieJvJWr]: 解除復活アル
ぐあしあぐあしあ
880 名前：デムパゆんゆん [2008/04/23(水) 00:22:38 ID:iieJvJWr]: >>878
網走は寒かったでつ
ログ吐き出し　なんか整形ツールあれば良いでつね
そうだ　snmpでつないでhinemosで管理　弊社のトータルソルーションでありまつwww
ログがたまるの嫌ならcronとか回して
タ～で固めるのだめﾆﾀﾞか？（＠＠）
881 名前：login:Penguin mailto:sage [2008/04/23(水) 02:38:18 ID:AaDa6A91]: >>880
ログが溜まるのはよかとですたい。
むしろ「お兄ちゃん見て見て！ログが少し大きくなったの」的な妄想ができますたい。

だがお兄ちゃん脳の記憶領域が残り3byteしか空き容量が無いので新しい仕様を覚えることに一苦労なのです。
欲望だけが沸き続けるのは人間の性。
882 名前：デムパゆんゆん [2008/04/23(水) 10:17:26 ID:iieJvJWr]: >>881
お　おにぃちゃん　おなかがくるしいよぉ
なにがはいってるのぉ
ＤＳ大人の脳トレーニングで
脳内再起動

>>856
＞雇ってないので大丈夫です。
送った履歴書がＵターンしてきたようでつ　ふへ
883 名前：login:Penguin mailto:sage [2008/04/27(日) 22:17:12 ID:lI0nWCFt]: 質問です。

allow_unlink, allow_createが書かれているprofileで、
allow_renameをポリシーエディターで追加しようとしても、追加されません。

これって、相反するものなのでしょうか？
884 名前：LiveCDの中の人 mailto:sage [2008/04/27(日) 22:59:05 ID:3F2gMlCf]: >>883
特に相反とかのチェックはしていませんね。
allow_renameのあとスペースを空けて、
2つのパス名が絶対パスで指定されているかをご確認くださいな。

もしダメならどんなエントリを追加しようとしているか、
ここに書いてもらうのが手っ取り早いかと。
885 名前：login:Penguin mailto:sage [2008/04/27(日) 23:26:16 ID:lI0nWCFt]: >>884
> >>883
> 特に相反とかのチェックはしていませんね。
> allow_renameのあとスペースを空けて、
> 2つのパス名が絶対パスで指定されているかをご確認くださいな。
>
> もしダメならどんなエントリを追加しようとしているか、
> ここに書いてもらうのが手っ取り早いかと。

あ、二つパスを指定するんですかｗ
すみません。うまくいきました。
886 名前：login:Penguin mailto:sage [2008/04/27(日) 23:27:52 ID:lI0nWCFt]: 話は違うんですが、

deny_read とか拒否ルールは書けたりは出来ないんでしょうか。。
887 名前：デムパゆんゆん [2008/04/28(月) 11:30:29 ID:hSxn4XiQ]: >>886
ファイアウォールと一緒で
一個ずつ許可していくんだろ
888 名前：LiveCDの中の人 mailto:sage [2008/04/28(月) 23:50:31 ID:eFmipwMS]: >>886
ポリシーはホワイトリストで、
「上から見ていってあればOK、最後まで見てもなければNG」
というシンプル設計。そのため、「拒否ルール」の記法はありません。ただし、
ttp://tomoyo.sourceforge.jp/ja/1.6.x/policy-reference.html#wildcard_expression_rules
の表の一番下の行、「\-」演算子を駆使すればそれらしきことはできます。
めんどいけどね。
889 名前：login:Penguin mailto:sage [2008/04/29(火) 11:33:17 ID:SvP2L5b/]: >>888
AppArmorは管理ガイドを見る限り、Denyルールを持っているようですね。
TOMOYOはやる気ないのかな。。
890 名前：login:Penguin mailto:sage [2008/04/29(火) 14:07:10 ID:SvP2L5b/]: \- ですか。ありがとうございます。
891 名前：login:Penguin mailto:sage [2008/04/29(火) 15:49:15 ID:SvP2L5b/]: しかし、/home/*/Docsをfirefoxで見れなくするために、
以下のように書いたのですが、うまくいきません。

--(exception_policy.conf)---------------------------
initialize_domain /usr/lib/iceweasel/firefox-bin
# snipped..
path_group HOME-DIR /home/taku/\*\-Docs
path_group HOME-DIR /home/taku/\*\-Docs/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*/\*/\*
----------------------------------------------------

--(domain_policy.conf)------------------------------
<kernel> /usr/lib/iceweasel/firefox-bin
use_profile 3
# snipped
6 HOME-DIR
----------------------------------------------------
892 名前：login:Penguin mailto:sage [2008/04/29(火) 15:51:18 ID:SvP2L5b/]: すみません。

(誤) 6 HOME-DIR
(正) allow_read/write @HOME-DIR
893 名前：デムパゆんゆん [2008/04/29(火) 17:35:58 ID:cnJ/AbCs]: そりゃうまくいかんだろ
exception_policy.confから
そのパスグループ削除汁

で、合ってたような気が駿河
894 名前：login:Penguin mailto:sage [2008/04/29(火) 19:26:08 ID:SvP2L5b/]: えーと、

~/Docsだけをfirefoxからアクセスさせたくないんですが、
その場合のパスグループはどう書けばいいんでしょうか。
895 名前：login:Penguin [2008/04/29(火) 20:35:14 ID:7I0kaDbH]: ＞~/Docsだけをfirefoxからアクセスさせたくないんですが、
普通は ~/.ssh とかにアクセスさせたくないという理由で
例えば ~/firefox-data 以下の読み書きだけを許可するといった
指定をすると思うのですが・・・。

＞その場合のパスグループはどう書けばいいんでしょうか。
path_group の書き方は 891 で合っていると思います。

＞use_profile 3
grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して
enforcing と表示されることを確認してください。

exception_policy.conf を編集後には loadpolicy e を、
domain_policy.conf を編集後には loadpolicy d を
実行していますよね？（しないと反映されません。）

あと確認するとしたら、本当に firefox が
<kernel> /usr/lib/iceweasel/firefox-bin
ドメインに属しているかどうかですね。
firefox に学習モード（ use_profile 1 ）を指定して
firefox から ~/Docs 以下のファイルにアクセスしてみてください。
もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin
ドメインで動作しているのであれば、そのドメインに
firefox からアクセスしたファイルのパス名が追加されているはずです。
896 名前：login:Penguin mailto:sage [2008/04/29(火) 23:10:08 ID:SvP2L5b/]: お世話になります。

>>895
> 普通は ~/.ssh とかにアクセスさせたくないという理由で
> 例えば ~/firefox-data 以下の読み書きだけを許可するといった
> 指定をすると思うのですが・・・。

おっしゃる通りです。orz
> grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して
> enforcing と表示されることを確認してください。

はい、enfocingと表示されています。

> exception_policy.conf を編集後には loadpolicy e を、
> domain_policy.conf を編集後には loadpolicy d を
> 実行していますよね？（しないと反映されません。）

ccs-editpolicyで編集しているので、即反映だと思われます。

> あと確認するとしたら、本当に firefox が
> <kernel> /usr/lib/iceweasel/firefox-bin
> ドメインに属しているかどうかですね。
> firefox に学習モード（ use_profile 1 ）を指定して
> firefox から ~/Docs 以下のファイルにアクセスしてみてください。
> もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin
> ドメインで動作しているのであれば、そのドメインに
> firefox からアクセスしたファイルのパス名が追加されているはずです。

はい、確かに学習モードだと /home/taku/Docs/hoge とかがエントリーされます。
897 名前：891 mailto:sage [2008/04/30(水) 01:14:35 ID:ylW0WDVj]: >>896
ちなみに、Debian lenny & TOMOYO 1.6.0です。
898 名前：LiveCDの中の人 mailto:sage [2008/05/01(木) 00:18:18 ID:SPZt1ZlM]: >>896
お聞きする限り正しいようですね。

1点気になる点があるので、「Firefoxからアクセスできてしまう」
というのがどういう状況か詳しく教えてもらえませんか？
TOMOYOの「ディレクトリの読み込み権限はチェックしてない」
という仕様から、
891さんが想定されている動作と異なっているかも知れません。

たとえば、Firefoxに
/home/taku/Docs/hoge
への読み込みアクセスを与えていなくても、Firefoxから
file:///home/taku/Docs/
にアクセスすると、ディレクトリインデックスが表示されて、
hogeというファイルがあることまではわかります
（Docsというディレクトリの読み込みはチェックされないので）。
ディレクトリインデックスでhogeへのリンクをクリックすると
403 Forbiddenになるわけです。
899 名前：896 mailto:sage [2008/05/01(木) 23:31:43 ID:ul/uALMw]: >>898

ご回答ありがとうございます。
確かに、dir listingは見れても、ファイル(例えば*.jpg等)は引っ掛かって見ることが
出来ませんでした。ありがとうございます。
900 名前：login:Penguin mailto:sage [2008/05/08(木) 23:17:21 ID:aArXWV97]: lkml.orgおかしくないかい？つう話は
数日前にも見た気がします。
901 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/10(土) 07:56:47 ID:378OV0Qj]: SDさんの連載、「TOMOYO Linuxの世界」のWiki化について、tomoyo-devの
クスノさんが残っていた分も転載くださいました。感謝・・・。
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux
902 名前： [―{}@{}@{}-] login:Penguin mailto:sage [2008/05/10(土) 09:44:51 ID:0BQy8+KX]: fedora8使ってるんだけど、TOMOYO用のカーネル入れたら、
yum updateとかでカーネルのアップデートができなくならない？
903 名前：login:Penguin [2008/05/10(土) 11:12:40 ID:YtCqEUQp]: >>902
kernel-2.6.24.5-85_tomoyo_1.6.0.fc8 の方が
kernel-2.6.24.5-85.fc8 よりも新しいバージョンと判断されてしまって、
ディストリビュータのカーネルはインストールされなくなるかもしれません。
ですが、ディストリビュータのカーネルがアップデートされれば
kernel-2.6.24.5-85_tomoyo_1.6.0.fc8 の方が古いバージョンと判断されて
ディストリビュータのカーネルの方がインストールされると思います。
904 名前：login:Penguin mailto:sage [2008/05/13(火) 12:10:45 ID:xL7S38Yx]: VMwareのCentOS5にインストールしてみたけど、
vmware-config-tools.plで/usr/src/linux/includeが指定されてしまうよ。
前は勝手に/lib/modules/2.6.18-53.1.19.el5/build/includeやら
/usr/src/kernels/2.6.18-53.1.19.el5-i686が指定されてたのに。
どうすりゃいいんだろう。
905 名前：login:Penguin [2008/05/15(木) 21:54:28 ID:kwv10gej]: >> 904
/usr/src/linux/include が指定されてしまうのは
/lib/modules/`uname -r`/build が存在しないか
デッドリンクになっているからでしょう。
インストールしたのは 2.6.18-53.1.19.el5 ？
それとも 2.6.18-53.1.19.el5_tomoyo_1.6.1 ？
前者なら yum install kernel-devel を実行すれば
/lib/modules/2.6.18-53.1.19.el5/build が
/usr/src/kernels/2.6.18-53.1.19.el5-i686 等を
指すようになるでしょう。後者なら
kernel-devel-2.6.18-53.1.19.el5_tomoyo_1.6.1.i686.rpm
をダウンロードしてインストールしてください。
906 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/16(金) 09:22:36 ID:mX7VQmYj]: 自宅で使用しているPCのディスクが壊れてしまい、しばらくご無沙汰していました。
>>716
5/31から「チョコレートの国の侍」というタイトルで、ThinkITさんで
連載いただくことになりました。
907 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/16(金) 09:26:16 ID:mX7VQmYj]: 昨夜、TOMOYOのlxrを更新しますた。
ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source
（最新は1.6.1ですが、その前の1.5.4も当面残しておきます）
908 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/16(金) 09:29:15 ID:mX7VQmYj]: 5/10にTLUGで、TOMOYOの紹介をしてきましたが、（このあたりのイベント
予定などの情報ははてなのページで確認ください）、Gentooのパッケージに
追加を提案いただけることになりました。TLUGは、外国人の方がほとんど
ですが、とても良い雰囲気です。
909 名前：login:Penguin [2008/05/21(水) 18:12:59 ID:WY0F4fBX]: ここを会議室にしてみたらと提案して以来盛況になっているこの現実
このスレはWikiにも保存されますか？
910 名前：login:Penguin [2008/05/21(水) 20:57:22 ID:WY0F4fBX]: メイプルシロップ事件やら鞄事件やらはTOMOYOとは関係なしに
別立てでおもしろおかしく書いてほしいｗ
911 名前：デムパゆんゆん [2008/05/22(木) 12:51:07 ID:wP9dv8BL]: おはようございまつ
eclipseにぶちこむプラグイン tomoyo-gui
solaris版のeclipseにぶちこんだが微妙にエラーがでる
srcからエアロバキバキしたい
jp.sourceforge.tomoyo.GUI_1.0.1.v20070713-1200.src.zipに
build.xmlとかない　プロジェクトとしてインポートしたいアル。キボンヌ
それとも自動生成アルか？
好了！
912 名前：デムパゆんゆん [2008/05/24(土) 01:03:54 ID:N3YMe7n2]: lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-May/000437.html
痴話喧嘩ktkr　なんだよｗｗｗｗ
ステファン：と　と　ともよﾀﾝ！　どうしてコード変えたの？　ｳﾘの事嫌いﾆﾀﾞか！　謝罪と賠償（ｒｙ
ともよﾀﾝ：ん　そ　そんなつもりぢゃ　ないでつ。　あ。。。
Ｓ：なんで　なんでなの　ともよﾀﾝのバカ！　サンノゼであんなに愛し合ったのに！　アレはなんだったの！
Ｔ：あぅあぅ
Ｓ：もぅ嫌い！
Ｔ：ぐあしあぐあしあ　（＠_＠）
こうですね　わかります。
つかＬＫＭＬ詠んでないけど　なんで変えたんだよｗ
ステファン先生ご立腹。
ステファンの愛　木お見て森進一

ＭＭパッチ神のお告げで御開帳
ブルハーみたいに
君ちょっと逝ってくれないか　君ちょっとすてごまになってくれないか
いざこざにまきこまれて　泣いてくれないか
ＬＳＭも似たようなもんだ　ﾊｧﾊｧするには十二分

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef