TOMOYO Linux

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/09 18:21 / Filesize : 339 KB / Number-of Response : 913
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

TOMOYO Linux

1 名前：login:Penguin [2006/07/07(金) 16:28:14 ID:+/HOu7cX]: 向こうはスレッド名がよくないのとＣＣさくらヲタしか集まってこないのでフォークした。
重複ではないと思っている。

TOMOYO Linux プロジェクト
tomoyo.sourceforge.jp/ja/doc/index.html
658 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/13(木) 01:29:41 ID:B3Y4lHaA]: >>657 行が抜けてしまいますた

返事をもらえなくて困るのは、もらえない理由や、読んでくれたかが
わからないことです。また、メールで困るのは
書いたものは取り消せないことで、あとから読み直すと自己嫌悪を感じます。
659 名前：デムパゆんゆん [2007/12/13(木) 09:53:54 ID:Wths6Dev]: もぱようございます
インプレス　グローバルな時代にあわせろかぁ。ｗ
読むのにも１週間かかる　ｳｰﾑ
誤字脱字はにちゃんねるの文化　これでいいのだ
660 名前：login:Penguin mailto:sage [2007/12/13(木) 14:06:23 ID:CV+mmHd8]: CLANNADの智代かと思った

なんつってジョークだよ許してよ
661 名前：デムパゆんゆん [2007/12/15(土) 03:27:09 ID:gceWszq3]: ソウルで零戦に乗って、韓国国会前で着陸したら許してもらえるかもﾆﾀﾞ

最近思うのはつっこむとselinuxと余り変わらない気がするなぁ
/home　以下ユーザでログインできない　あぁ無情
gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
パッチ出たのが一昨日だっｗ
ともよﾀﾝそんなに困らさないででよん
662 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 10:24:51 ID:h9rQF8ZE]: >>661
もうちょっと詳しい情報ｷﾎﾞﾝﾇ
663 名前：デムパゆんゆん [2007/12/15(土) 15:52:47 ID:gceWszq3]: 上官殿ｯ!!!　報告するであります

鳥はF8　initは５が前提
selinuxはenforce　TOMOYOは setprofile -r 0,1,2,3 <kernel>
/home 以下ユーザでログインしたら
gdm-binary[2660]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
こんなメッセージが出る

selinuxがpermissiveだとログインできる
起動時/etc/X11/xinit/Xsessionの直前で/tmpにアクセスがあり
TOMOYO-WARNING: Access 'create /tmp/.gdmOOKP2T' denied for /usr/sbin/gdm-binary
TOMOYOがプロファイル1の時でも/tmp以下は学習はするものの
制御してるのかと思い　/tmp以下全部許可にしたりした

selinuxで/usr/sbin/gdm-binaryのアクセス権限がだめなのかと思い
現在ｸﾞｸﾞﾙ先生にご意見拝謁賜っておりまつ

続く
664 名前：デムパゆんゆん [2007/12/15(土) 16:12:09 ID:gceWszq3]: ＞gdm-binaryのselinuxがらみのバグのような感じだがすれ違いか
＞パッチ出たのが一昨日だっｗ
勘違いだった　リプライの日付でつた　selinuxも関係なさそうだあぁ無情
https://bugzilla.redhat.com/show_bug.cgi?id=379511
怒らないで　ともよﾀﾝ
鳥が鳥だけにメンテナも七転びバットウ
lists.linuxcoding.com/rhl/2007q4/msg11463.html
バグ再発
このまま茨の道を歩き続けるかselinuxをpermissiveにするか

localhost acpid: client connected from 2066[68:68]
localhost ccs-auditd: Started.
localhost pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found
localhost pcscd:last message repeated 3 times
localhost acpid: client connected from 2168[0:0]
localhost gdm-binary[2198]: WARNING: session_child_run: /etc/X11/xinit/Xsession default を実行できませんでした
localhost gdm-binary[2212]: Gtk-WARNING: Ignoring the separator setting
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2212]: atk-bridge-WARNING: failure: no device event controller found.#012
localhost gdm-binary[2213]: Gtk-WARNING: Ignoring the separator setting

こんな感じ　ばぐ太なのか権限が足りないのかｳｰﾑ

続く
665 名前：login:Penguin [2007/12/15(土) 16:15:33 ID:1GRMYg0A]: 　　　┌─‐‐─┐　　みなさんは２ちゃんねるの初心者ですか？書き込む前に
　　　|_____________|　　SG(セキュリティー・ガード)に登録しないと自作自演がバレてしまいますよ。
　　 ='========='== SGに登録せずに書き込んだ場合、あなたのパソコン内の
　　　/ ＼　　／│　情報は他人に見られていると考えてほぼ間違いないでしょう。
　 ┌|-（・）-（・）-|┐ 自作自演がばれる方の多くはこの登録を怠っています。
　 └| 　　〇　 .|┘ 初期の頃から２ちゃんねるにいる方達は、ほとんどの方が
　　 |　___ |||||__　|　　このBBSのコマンドの仕組みを知っています。ですから簡単に
　　 |　＼＿＿/ |　　あなたのIPアドレス等を抜き取り自作自演を見破ってしまいます。
　　　| 　　||||| 　 |　　このコマンドの方法は決して教えないというのが初期の頃から
　　　　　　　　　　　　２ちゃんねるにいる方達の間で暗黙の了解となっていましたが、
あまりの被害の多さに心を痛めた私はあえて公開することにしました。
SGしておけばまず抜かれるコマンド自体が無効になってしまうのでどんなにスキルが
ある人でもIPアドレスを抜くことが不可能になります。SGに登録する方法は、
名前欄に「 fusianasan 」と入れて書き込みする。これだけでSGの登録は完了します。
一度登録すれば、Cokkieの設定をOFFにしない限り継続されます。
fusianasanは、正式にはフュージャネイザン、又はフュジャネイザンと読みます。
元々はアメリカの学生達の間で、チャットの時にセキュリティを強化する為に
開発されたシステムです。これを行うことにより同一人物が書き込んでいるか
どうか判別する手段が遮断されるので安心です。ぜひ書き込む前には
名前蘭にfusianasanと入力してください。自分の身は自分で守りましょう
666 名前：デムパゆんゆん [2007/12/15(土) 16:29:35 ID:gceWszq3]: あとはTOMOYOでこんなﾛｸﾞが
localhost kernel: TOMOYO-WARNING: Domain '<kernel> /sbin/init /etc/X11/prefdm /usr/sbin/gdm
/usr/sbin/gdm-binary /etc/X11/xinit/Xsession　/bin/bash /usr/bin/ssh-agent　/usr/bin/dbus-launch
/etc/X11/xinit/Xclients /usr/bin/gnome-session /usr/bin/gnome-panel
/usr/bin/gnome-terminal /bin/bash /usr/bin/yum'
has so many ACLs to hold. Stopped learning mode.

selinuxとTOMOYO両方使いたいのぅ　気分的に使うIDS減るｵｶﾝ　運用は地獄でつ

上官殿!!!　不本意な成績で申し訳ありません　自分の不遜にあります
以上、台湾航空隊第二攻撃隊のラバウル航空戦の戦績を報告するでありますっ!!!
667 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 17:42:10 ID:h9rQF8ZE]: Q. 結局のところ何が問題か説明せよ（長すぎてわからないぞ）
Q. 「問題」は(a) SELinuxの問題、(b) TOMOYO Linuxの問題、(c) 切り分けできていないのどれになるか？
　（TOMOYOに関係なく発生するならまずselinux-usersに質問するのが吉だ）
668 名前：デムパゆんゆん [2007/12/15(土) 18:55:14 ID:gceWszq3]: Ａ、(a) SELinuxの問題
ｳﾘはﾈﾀ投下のつもりでやってるﾆﾀﾞよ
ﾈﾀにならないなら投下しないﾆﾀﾞ
うわぁ～ん
669 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/15(土) 19:42:50 ID:h9rQF8ZE]: >>668
ﾈﾀ投下ですか。それは失礼しますた。ﾈﾀは自由に投下ください。
TOMOYOの話題限定でなくても良いのですが、早く解決するには
SELinuxのほうに聞いたらと思ったのでした。

yumは特別な事情というか理由がなければ学習させなければ
良いと思います。（でもこれもﾈﾀか？）
670 名前：login:Penguin mailto:sage [2007/12/26(水) 01:38:13 ID:r4ypI5fU]: Vineが4.2へ。
一応Kernelが2.6.16-0vl76.27に切り替わっているけど既存の2.6.16-0vl76.3用パッチファイルで問題なくTOMOYO仕込んで再構築完了。
まぁ…マイナーアップなのである意味当然な結果になりましたが…。
671 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2007/12/27(木) 07:40:40 ID:SXWTylVx]: TOMOYO Linuxのディストリビューション対応状況2007.12.25版です。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-dev/2007-December/000749.html

添付されていたExcelをGoogle Spreadsheetsで公開してみました。
ttp://spreadsheets.google.com/ccc?key=p5SYVEC0jPMO_UUm1hsvQWQ#
672 名前：login:Penguin mailto:sage [2007/12/28(金) 01:37:38 ID:tdQ5au30]: ccs-toolsをコンパイルするにあたり、必須な物って何がありますか？
当方Debian（Etch/Lenny）を使っているのですが、make中に大量のWarningを吐き出してしまいます。
一応、Errorは吐き出さないので成功…なのかもしれませんが、ちと気になります。
以前までVinelinux4.1を使っていたのですが、その時はWarningは吐かなかったので…。

make -C ccstools/ all
make: Entering directory `/root/ccstools'
gcc -Wall -O2 -o ccstools ccstools.src/*.c -lncurses -DCOLOR_ON
ccstools.src/ccstools.c: In function 'IsDomainDef':
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of 'strlen' differ in signedness
ccstools.src/ccstools.c:99: warning: pointer targets in passing argument 1 of '__builtin_strcmp' differ in signedness

(中略）

timeauth.c:272: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
timeauth.c:274: warning: pointer targets in passing argument 1 of 'UnEscapeLine' differ in signedness
gcc -Wall -O2 -o falsh falsh.c -lncurses -lreadline
make: Leaving directory `/root/ccstools'

Debian自体は最小構成でインストールしているのでほとんど余計（必須）な物が入っておりません。
取りあえず

make
libncurses5-dev
libreadline5-dev

は入れております。
673 名前：LiveCDの中の人 mailto:sage [2007/12/29(土) 03:31:21 ID:i64ao+JI]: >>672
結論から言うと、このwarningは無害です。
警告を消すには、Makefileの35行目のコメントアウトを解除して、
37行目をコメントアウトしてください。
Vineで出ずにEtch/Lennyで出る、というのは、
Vineのgccが、この警告を表示するオプションno-pointer-signが
まだ実装されていないバージョンのためです。

TOMOYOの内部では文字列をunsigned charポインタで表現していますが、
strlenなどの関数が受け取り方がただのcharポインタであることが原因です。
674 名前：login:Penguin mailto:sage [2007/12/29(土) 09:11:51 ID:S76xHoyg]: >>673
文字コードに依存した処理（文字コードに子息演算とか）をしなければ、charで事足りると思うのですが、
敢えてucharな理由はなんですか？
675 名前：login:Penguin [2007/12/29(土) 15:07:37 ID:hCsJ400H]: >>674

TOMOYO ではエンコーディングは考慮しません。
全ての文字列を ASCII printable な文字だけで構成します。
そのため、 ASCII printable ではない範囲のバイト
（ 0x01 ～ 0x20 および 0x7F ～ 0xFF ）については
\ooo という８進数で表記します。
この４バイトで表記される８進数データと１バイトで表記されるバイナリデータとを
相互変換する際にビット演算が必要になるので、毎度 signed か unsigned かを
考慮するのが面倒という理由から、最初から unsigned で扱うようにしています。
また、 ASCII printable でないことを検査する際に
1 以上 32 以下または 127 以上 255 以下と表記する方が
-128 以上 -1 以下または 1 以上 32 以下または 127 と表記するよりも
理解しやすいと考えています。
技術的には必要に応じて unsigned char にキャストすれば可能です。
676 名前：login:Penguin mailto:sage [2007/12/30(日) 00:52:55 ID:ekUClILt]: >>673
Thxです。
677 名前：login:Penguin mailto:sage [2007/12/30(日) 04:09:27 ID:LWrRAHuk]: 英語と日本語で両方ある場合は、相互に対応するページ、最低トップには
リンク貼っといた方が良いかもです。
検索とかで飛んできた人もいるので。
678 名前：login:Penguin mailto:sage [2008/01/07(月) 12:00:43 ID:6LLk5psJ]: CONFIG_XXXX
のXXXXは機能を意味する英語であって、コードネームであっては
ならんと思うんだが、どうよ？
679 名前：login:Penguin mailto:sage [2008/01/07(月) 20:00:13 ID:/JVv+gmI]: そいや今更だけどDebian LinnyのパッケージにTOMOYOﾀﾝが入っているね。
ただDebianのポリシーそのままに行くと1.5.x→1.6.xとかの変更が推奨されたときもパッケージに入らない気がするけどその辺りどうなんでしょ？
記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。
680 名前：login:Penguin mailto:sage [2008/01/07(月) 22:35:29 ID:kortU+/c]: >>679
> 記憶が正しければstableになった場合、マイナーアップはあってもバージョンは上がらなかった気がした。

stable はそうです。
681 名前：login:Penguin mailto:sage [2008/01/07(月) 22:43:32 ID:kortU+/c]: より正確に言うと stable になった場合は、基本的には security fix のみで、
それ以外は機能的に大きく問題になるような（機能しなくなるような）点に関する
修正だけが協議の上で入れられる状態です。

ま、新しいの追いかけたい人は unstable 使うでしょうからあまり気にすることも
ないでしょう。
682 名前：login:Penguin mailto:sage [2008/01/17(木) 05:20:31 ID:V/IoaRhx]: なんだ、まだNAGATO linuxに改名してないのかよ
683 名前：login:Penguin mailto:sage [2008/01/17(木) 08:22:12 ID:SV+g1jpN]: >>682
アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ？

そんだけではアレなので。
MACに興味あるので古いPen!! BXマシンのDebian Woody(ぉぃ)な内部用自宅鯖をOS含め入れ替える序に使ってみようとプラン立ててます。
思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
運用モードである日あるアプリがエラーで落ちたときにログを書き出そうとしたりアラートプログラムを起動させようとしても事前に学習させてなければTOMOYOに妨害されるという可能性。
護るという点ではそれは正しい挙動なのだけど、なかなかポリシーを作るってのは難しいですね・・・
幸いLinuxで動かすアプリは大抵オープンソースだから追いかけるのも不可能ではないのが幸せな所かも。
TOMOYOにもSELinuxみたいな出来合いポリシーまでは行かないですが、
「Apache動かすならココ許可し忘れに注意ね。」みたいな指南があると楽なんだろうなぁとも。
684 名前：login:Penguin mailto:sage [2008/01/17(木) 08:29:07 ID:SV+g1jpN]: ま、単にWindowsメインで暮らしてLinuxを少し触れるだけのプログラムやハックが趣味な人の戯言やチラシ裏と流して頂ければと。
学習モードで眺めるのがなんとなくFilemonやProcess Monitorとかと感覚的に似てそうだなぁとニヤニヤしてます。
Filemon ttp://technet.microsoft.com/en-us/sysinternals/bb896642.aspx
Process Monitor ttp://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Windowsアプリは未だにアクセス権に対してテキトーな物が多いのが悲しい事ですたい。
この間もUsersで動かすと落ちるとかいうのを調べたら権限のない場所に書き込もうとして失敗したのに次のステップを強行してぬるぽで落ちてる始末。
みんなAdministrator(root)だった頃の癖が抜けてないプログラマー(というよりSEさん)が多い様で。
Linuxアプリは歴史的に有る程度考えて組まれてるみたいですけど物によっては同じ状況もあるのかなー？
ちゃんとやってればVistaのUACもそう大騒ぎする事でもない、UAC有効で問題ない状況だったはずなのになー

あれだ、キモイパソオタでしかもドザでさーせん。風邪で脳に蛆がわいてるみたい。
就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
出席足りなくてヤバイですよ。機械の体が欲しいです切実に。螺子になるのは嫌だけど。
スルーしてちょ。ただ、TOMOYOをみんなに運用しようと思ったらポリシーを網羅するのは大変だろうなと。
TOMOYOの良いところは俺のドキュメントは俺がKDEから起動したOOoからしか読み書きさせねー、
Apacheから来たアクセスははじいちゃるなんてのがファイルシステムのアクセス権に関係な実現できそうな事ですねー
685 名前：デムパゆんゆん [2008/01/18(金) 20:24:15 ID:5cuexXpF]: おはぎゃぁぁぁ～
＞アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
＞萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ？
今まではTCPmon　squrd トリップワイヤ　とかいろいろ使ってあれこれ試行錯誤
あれ？　どうしてレスしてしまったのか
管理する人間にしてみればＴＯＭＯＹＯが出て随分楽になるのでふぁ
＞思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
自分も前おんなじ様なこと書いたような気が駿河
ＴＯＭＯＹＯﾀﾝ思考停止はい神崎
apache スクリプトでＴＯＭＯＹＯログ監視してストポみたいなエラーでたら
携帯にメイル発信するとか
んで、ＳＳＨでリモートからあぱちぇ再起動　ｳﾏｰ
そしたならば、うちに帰ってから再学習させればよかっぺ

ｦﾚ様って頭いい～とか自画自賛してみるが、
その昔日経コンピューターで特集やってたのを言ってみただけだｗｗｗｗｗ
採用してた会社は遠い記憶で東京三菱うふぁじゃぁ銀行
それでふぁ失礼したいのでつが　その前におちっこ

>>684
＞就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
せんせ～の足にしがみついて、だた様ﾏﾝｾ～　ダタ様ﾏﾝｾ～
と、叫んでみると　あら不思議　目の前にまっさらの履歴書があるわけです。
ストーカーチックでつね　名前も貞子に
あれ　ディスプレイの電源が入ってる・・・・・・・。
風でなくても脳が沸いてるｦﾚなんですが
すかしっぺ
686 名前：login:Penguin mailto:sage [2008/01/18(金) 20:37:47 ID:l92/rN1X]: >>685
結果をその場で予め決められたとおりに下すんじゃなくてデスクトップ用途で使うならアラートダイアログが出て
「ともよちゃんがさくらちゃんを着せ替えしようとしてるけど、実行してよかと？だめと？　<<やー>> <ないん>後10秒...」みたいなモードがあると面白そ
687 名前：login:Penguin mailto:sage [2008/01/18(金) 22:07:32 ID:BvMIQ0O1]: 外部アプリケーションへのフック機能か。
セキュリティ的になんか心配な気はするけども。
688 名前：login:Penguin [2008/01/19(土) 13:42:03 ID:HMoPyc1e]: >>682

　改名はありません。
　ttp://I-love.SAKURA.ne.jp/tomoyo/

>>683

　ある程度ユーザが増えてくればユーザ間でのノウハウ流通が増えてくると思うのですが、
　最初は難しいので、ソフトウェアの開発元さんにお願いしたいところです。

>>684

　TOMOYO Linux は「情報の伝搬」（情報フロー）を監視／制限するモデルではなく
　「アクセス要求の連鎖」を監視／制限するモデルですから、
　Filemon や Process Monitor とかと似ているでしょうね。

>>685

　/etc/crontab または専用デーモンを使って、 /var/log/tomoyo/reject_log.txt に変更が
　あった場合に携帯にメールを送るということならできるでしょう。
689 名前：login:Penguin [2008/01/19(土) 13:43:19 ID:HMoPyc1e]: >>686

　何故にドイツ語？（笑）

　デスクトップにダイアログを表示するプログラムは無いけれど、
　ポリシーで許可されていない要求をその場で却下するのではなく
　管理者の判断を仰ぐようにするモードはバージョン 1.1.1 以降で使えます。
　この機能を使えば、例えば３分間を限度に管理者が応答するまで保留させるといったことも実現可能です。

　管理者とポリシー違反監視デーモンの双方からアクセス可能なプライベート領域を用意できれば、
　「サービスがポリシーで許可されていない振る舞いを要求」→「カーネルが要求を保留」→
　「ポリシー違反監視デーモンが要求内容をプライベート領域に書き込み後、ユーザに注意喚起」→
　「ユーザがプライベート領域の内容を見て諾否をその領域に返答」→
　「ポリシー違反監視デーモンがその領域に書き込まれた返答を見てカーネルに伝達」→
　「カーネルが返答に従って処理を行う」という流れを踏むことで
　対話的にポリシー違反を処理することができます。
　コンソールやターミナルからこの処理を行うのが ccs-queryd というプログラムです。

　問題は、 Linux サーバだと Windows みたいに常にデスクトップ画面が使えるとは限らないので、
　通知のためにメール等の手段を必要とすることと、公開Ｗｅｂサーバやｓｓｈのように
　ファイアウォールで遮断されないサービスの手助けを借りる必要がある点ですね。
690 名前：login:Penguin [2008/01/19(土) 23:57:04 ID:HMoPyc1e]: >>685
>>689

　よくよく考えてみると、通知して保留する部分だけなら簡単なのでちょっと作ってみました。

　ttp://svn.sourceforge.jp/cgi-bin/viewcvs.cgi/*checkout*/trunk/1.6.x/ccs-tools/ccstools/ccstools.src/ccs-notifyd.c?root=tomoyo

　これを gcc -Wall -O3 -o ccs-notifyd ccs-notifyd.c でコンパイル後、
プロファイルの ALLOW_ENFORCE_GRACE=1 に設定した上で
ccs-notifyd 0 'mail メールアドレス' のように実行すると、
強制モードで発生した最初のポリシー違反をタイムリーに教えてくれます。
判断保留中にログインして ccs-queryd で返答するつもりなら
待ち時間を 0 ではない値（ 180 秒くらいが妥当？）に設定してください。
691 名前：login:Penguin mailto:sage [2008/01/20(日) 21:02:11 ID:vK+YBZs+]: >>683
＞アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。

バックの組織のことも考えてKOIZUMI Linuxでいいじゃん。
692 名前：login:Penguin mailto:sage [2008/01/21(月) 02:40:10 ID:XBGn53n5]: 智代 After Linuxつくってくれ
693 名前：デムパゆんゆん [2008/01/21(月) 17:51:06 ID:rFx7dDpJ]: >>686
例外処理やprintfで出力出してるとこ
変えればよさそうだ。　うん

あれだな　本家にはとても入れらないだ？なので野良ビルド
どこかうｐ出来そうなとこはないものか、と
夜の校舎窓ガラス壊してまわった

>>690
最近ＢＳＤ入れたボッチャマに犬をもう一度入れろという天のお告げでつね。
こわひのでただ今から入れなおすことを前提に
前向きな検討をしたいと重いまつ。
きになったのはgcc -03 でエラーでないでつか？
スタンダードに-02のほうがよさげな気が始末書
待ち時間　メールだとすぐには届かないかも試練
webmin hinemosみたいな統合管理ツールで監視して
電話発信でワン切り５回なんかも考えた。
駄菓子菓子、１８０秒とか待ち時間過ぎても
リモート接続できないとき
拒否にして　家に帰ってガリガリと修正すればいいだけか。
でわ、海に潜る
694 名前：login:Penguin mailto:sage [2008/01/24(木) 22:36:43 ID:+xCTxMjN]: TOMOYO de BSDを所望しよう！
Trusted BSDは使い様が今一把握できんorz

それはさておき、1.6.xに向かってまっしぐらのようだけどポリシのパーミッション表記方法が変わると既存のポリシに影響出そうで怖いのぉ。
きちんと既存ポリシは引き継げるのじゃろか。
695 名前：login:Penguin [2008/01/25(金) 06:42:30 ID:S3Tv4eYT]: >>694

キーワードを以下のように変更するだけなので、 1.5.x で作成したポリシーを 1.6.x で読むことができるようになっています。（逆はできません。）

1 -> allow_execute
2 -> allow_write
3 -> allow_execute と allow_write
4 -> allow_read
5 -> allow_execute と allow_read
6 -> allow_read/write
7 -> allow_execute と allow_read/write
696 名前：login:Penguin mailto:sage [2008/01/25(金) 23:34:30 ID:Y8TQ/mNy]: >>695
ふむふむ、安心したとですたい。
個人的には現行のままかrwx方式の方が分かりやすい気もしますが。
697 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/02(土) 23:44:31 ID:BrD5gcHQ]: >>696

私も「現行の数値表示のまま＋コマンドラインオプションでrwx形式を追加」が
良いと思ったのですが、「特定の別名だけハードコーディングして
コマンドラインオプションという優遇措置を設定することには反対」という
ことになりました。

ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-January/thread.html

1.5.3では、下記のような環境変数を定義すれば、rwx表示に変更は可能です。
（一種sedの置換のようなイメージ）

EDITPOLICY_KEYWORD_ALIAS='1=--x:2=-w-:3=-wx:4=r--:5=r-x:6=rw-:7=rwx'
698 名前：login:Penguin mailto:sage [2008/02/04(月) 02:31:36 ID:C0+qZX6D]: >>697
orz
慣れれば馴染むのかなぁ。
慣れるまで大変そうだ。

せめて表記方法を選択できるようにすれば幸せ…かも。
699 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/04(月) 21:47:46 ID:pPdDQ2Yl]: >>698
> 慣れるまで大変そうだ。
そうですか？（笑）
ttp://tomoyo.sourceforge.jp/wiki/?plugin=attach&pcmd=open&file=editpolicy.bmp&refer=Welcome%21
> せめて表記方法を選択できるようにすれば幸せ…かも。
環境変数を定義しなければなりませんが、一応選択は可能です。
700 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/04(月) 23:08:56 ID:pPdDQ2Yl]: 1,2...7とrwxを両方表示させてみましたが、いまいち・・・。
ttp://tomoyo.sourceforge.jp/wiki/?plugin=attach&pcmd=open&file=editpolicy2.jpg&refer=Welcome%21
701 名前：デムパゆんゆん [2008/02/04(月) 23:47:54 ID:JAZlt/Xr]: いまいちなんでつが、
この際ばっさり切り捨てるとか
古い仕様が良いという抵抗勢力も出ると思いマツ
そんな時は　抵抗勢力はぶっ潰す　あひゃぁ
個人的には古いほうが良いような気もするんでつが
どっちでもいいや　だた様万歳!!!
702 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/05(火) 06:51:56 ID:fjHymLCz]: >>701
1.5.3ではポリシーの構文自体は変わっていません。
editpolicyが勝手に表示内容（見た目）を置換しているだけです。
だから1を「あひ」、2を「でつ」とかにしても良いわけでつ。
多分すでに使っている人には1,2,3...で十分なのでつが、
新しく使い始める人には、まあわかりやすいと思いマツ。
この変更が一番うれしいのは、デモの際に「4はreadで・・・」のような
説明をしなくてすむことですが、同じポリシーが環境によって
違って表示されても良いのか気になりまつ　あひゃぁ
703 名前：login:Penguin mailto:sage [2008/02/20(水) 18:36:49 ID:21MYkGk0]: TOMOYO の ML のアーカイブが gmane で読めるといいなぁ。
704 名前：デムパゆんゆん [2008/02/22(金) 00:35:14 ID:6ALFx6VR]: 偶然見かけたＯＳＣﾄﾝｷﾝ２００８の案内
ＴＯＭＯＹＯ独演会　登録しちゃると思ったら満員ﾆﾀﾞ!!!ｗｗｗ
以外だ　ＳＥ　Linuxと肩並べてるよ
日本はいよいよ制覇しつつあるのか
次は世界制覇でつね　ＮＳＡの陰毛を打ち砕く日が来るんだなッ!!!
去年のＯＳＣ関西見たく　立ち見は駄目そうなのかしらん
事務局に聞いてみるか
１０年ぶりのﾄﾝｷﾝ上京が夢と消える　あぁ花の大東京
705 名前：デムパゆんゆん [2008/02/22(金) 23:47:13 ID:6ALFx6VR]: [Tomoyo-dev 775] プログラム実行時のパラメータをチェックする機能について
[Tomoyo-dev 776] ステートフルなアクセス許可のサポートについて
なんとなく読んでみる。
allow_execute /bin/sh if exec.envp[\"HOME\"]=\"/home/\\*\"
極論を言うと/homeがシンボリックリンクなどで改ざんされいないという
性善説が大前提になるだ。
ｦﾚ様頭堅すぎるのかな?

ファースト　Tomoyo-dev 775
プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ
/etc/ccs/exception_policy.conf以下に
iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で
書くのいかがでせうか

セカンド　Tomoyo-dev 776
なんとなくわかるのでつ
ＣＧＩが増やしたプロセスの中に不正なプロセスが紛れ込んでいる
いやらしい僕ちゃんがいると　大変なことに
うーん　これも頭が固すぎるのか
最近ﾁﾝﾁﾝ固くしてないな

あぁ　せんせ～は海外逃亡中みたいでつね
お家の一大事でつ
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080222/294479/

ベルギ～ﾁｮｺ!!!　ベルギ～ﾁｮｺ!!!
706 名前：login:Penguin [2008/02/23(土) 10:50:55 ID:+5LIG1Ds]: >>705

> 極論を言うと/homeがシンボリックリンクなどで改ざんされいないという性善説が大前提になるだ。
セキュリティ強化ＯＳは性悪説が前提です。（カードキャプターさくらの世界に悪人はいません。）
まず、シンボリックリンクに関しては、シンボリックリンクを解決した後のパス名でチェックしますので
シンボリックリンクの影響は受けません。また、名前の変更に関しては「変更前／変更後」をセットにして、
ハードリンクの作成に関しては「リンク元／リンク先」をセットにしてチェックしますので、
「 mv /etc/shadow /tmp/shadow 」とか「 ln /etc/shadow /tmp/shadow 」のような操作を禁止できます。
よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。

> プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ
カーネルが大きくなってしまうことを心配してるのでしょうか？そうだとしたら
> /etc/ccs/exception_policy.conf以下に
> iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で
> 書くのいかがでせうか
exception_policy.conf に書いても domain_policy.conf に書いても
コードサイズの増加分は変わらないです。
domain_policy.conf に書く理由は、どのようなパラメータを許可すべきかは
ドメイン毎に異なるからです。 if 以降の条件は学習モードでは追加されませんので、
デフォルトでは 1.5.x と同様です。 /var/log/tomoyo/reject_log.txt の中から
allow_execute を見つけ出し、 if 以降の条件を追加したい場合だけ
手作業で追加してもらうことになります。
707 名前：login:Penguin [2008/02/23(土) 10:52:12 ID:+5LIG1Ds]: >>705

> ＣＧＩが増やしたプロセスの中に不正なプロセスが紛れ込んでいる
この機能は、ＣＧＩからシェルを起動できる条件を厳しくするために使います。
Apache プロセス内で動作するＣＧＩから /bin/sh の実行を要求されることがありますが、
「ＣＧＩによる正当な実行要求」なのか「バッファオーバーフローによる不当な実行要求」なのかを
判断する材料がありません。（どちらも Apache プロセスだからです。）
そのため、過去にどのような処理が要求されたかという情報を状態変数として保持しておくことで、
シェルの実行要求を認めるかどうかの判断材料として使えるようにするものです。
例えば 192.168.1.xxx から接続してきた場合のみ管理用コマンドの実行を
許可するといった使い方ができるようになります。
もちろん、実行時のパラメータチェックと組み合わせて使えます。

さらに、ログイン認証の強化（ケロちゃんチェック）でも使えます。
例えば /etc/fstab をオープンしてから認証プログラムを実行しないと認証が成功しないとか、
/etc/mtab を３回オープンすると次のステージに進むためのプログラムを実行できるようになるとか。
忍者屋敷化（からくり屋敷？迷路？）に一層の拍車をかけることができます。
侵入者が屋敷の玄関まで到達できても、屋敷の中には見えない障壁がいっぱいあって先へ進めない、
そんな状況を「想像」（この機能を使うことで「創造」）してください。
イベントの発生順序でアクセスを制限する TOMOYO Linux は、悪人がログインできない世界を創り出すのに最適なのです。

> あぁ　せんせ～は海外逃亡中みたいでつね
インターネット常時接続環境のない場所で難儀しているようです。
708 名前：デムパゆんゆん [2008/02/24(日) 00:10:25 ID:/WI3c3iT]: >>707
＞よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。
＞忍者屋敷化（からくり屋敷？迷路？）に一層の拍車をかけることができます。
ＴＯＭＯＹＯすげーｗｗｗ
ＳＥ　ぃぬっくすいらねーぢゃん
つか聞く前にコード嫁言われてるみたいだなｗｗｗ
うん　書く分量が多い過ぎて　ＭＬに登録してまともな文章で返信の返信するアルか

＞インターネット常時接続環境のない場所で難儀しているようです。
オランダにはネカフェがたくさん
ＱＢＢからＤＢに乗り代えお隣のドイチェランド　フランクフルトでビールとおつまみで一休み
お帰りはそのままルフトハンザ航空で安く日本へ　ひゃっは～
709 名前：login:Penguin mailto:sage [2008/02/24(日) 14:01:56 ID:smfLkUYP]: おい、データに居るのに贅沢だな。
710 名前：login:Penguin mailto:sage [2008/02/24(日) 21:44:23 ID:Gs5sbjyI]: せんせーへ。
これだけでMLになげるのもあれなんでこちらで。
お疲れ様でした。
711 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/24(日) 21:48:01 ID:zqtmZFzW]: >710
どうもありがとう。
今回は素晴らしくきつかったです。
712 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/24(日) 21:50:46 ID:zqtmZFzW]: 発表の直前まで作業していたので他の人の講演は聞いていないし、
チョコもワッフルも食べていませんが、明日帰国します。
今年はELCやOLSが通っていても辞退しようかな（笑）。
713 名前：デムパゆんゆん [2008/02/25(月) 02:45:27 ID:KB3fNQRF]: せんせ～が引退宣言だ
いつもなら長文書いて発狂してるのに
辞退するとデスクが子会社にいつの間にか移っていたり
うん　アレだ　これはなかった事に
ＮＳＡに頼んで証拠すべて消してみる
すべてなかった事にして進む
フーッハッハッハッハ～　ＮＳＡ万歳
714 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/25(月) 08:44:09 ID:lFcPbgqw]: いや、採用されたら発表しますよ。(^^;
会社的には別に辞退してデスクが変わったりすることはないでしょう。
やめることより続けること、続けられる状態を維持するほうが大変です。
（もっとも続けるためにやっているわけではなく、会社にとって
プラスにしようと思っているわけですが。そのあたりは資料をながめると
感じ取ってもらえるかも）
# しかし、いつも長文書いて発狂してますかねぇ。(--;
今回の発表については、PCの故障、鞄の盗難（これがひどい話で・・・）、
ネット接続できないなどさまざまなトラブルが続きました。
それらをなんとか乗り越えて「約束した」発表を無事終えた、というのが実感です。
FOSDEM'08のパンフによると参加者は4000人以上、発表は200件以上と
ありますが、発表は勿論自分以外の日本人は見かけませんでした。
European Meetingなのに選考してもらっている以上、日本代表も同じで
恥ずかしい発表はできないし、出張費用を負担する会社にはその費用以上の
ものをもたらさなければいけないというのが「約束」の意味です。
ドラクエで言えばMP0, HP1でやっと町に着いた的な状態で、さすがに
疲れました。
ということで少し横になったので、ちょっとだけ長文でした。（笑）
でふぁ
715 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/02/25(月) 08:56:20 ID:lFcPbgqw]: ヨーロッパのOSSのコミュニティというか取り組みの活気は非常に高くて
驚きました。「お祭り」とか「イベント」という浮いた感じはどこにもなく、
ただまじめに取り組んでいるという印象です。静かで本気なのです。
プログラムからもそれがわかると思います。
ttp://www.fosdem.org/2008/schedule/pdf
716 名前：login:Penguin mailto:sage [2008/02/25(月) 19:34:50 ID:6WW+La9G]: 鞄の盗難の話ｋｗｓｋ
717 名前：デムパゆんゆん [2008/02/25(月) 23:52:25 ID:KB3fNQRF]: >>715
pdf読んでみた
タイトルがはっきりしててうらやましいなぁと思う。
日本のＯＳＣに限らずなんか弊社でふぁソリューション展開云々
スポンサーの電波とかそんなのばっかりだし
エオロッパは反マイクロソフトが露骨でつ
官主導でがんがんやってるのうらやましい
実際システム構築やホスする人は地獄だとオモｗｗｗ

ＵＳＢメモリーとか刺したままにして
作業しながらコピー
やくそく守ったし生きて帰ってこれたから
うん　アレだ結果万歳
718 名前：login:Penguin mailto:sage [2008/02/26(火) 07:06:09 ID:eMAAHckI]: >>712
ワッフルはULBの自販機にあったような気がするですよ。
て既に手遅れですな。

>>714
そこまで気負わんでも。
ネットはHack labo.へいけばって言っても混んでて無理か。

>>717
あんなものと比較しちゃ失礼でつ。
719 名前：デムパゆんゆん [2008/02/26(火) 21:10:48 ID:75/EnCeb]: >>718
ちょｗｗおまｗｗｗｗｗｗｗｗ
なんでつが、あんなものでも
時間を割いて講演する人もいる
あんなものでも１０年ぶりのﾄﾝｷﾝ上京にｗｋｔｋしているのにｗｗｗ
行く気なくすよ　べぃべ　華の都大東京
720 名前：login:Penguin mailto:sage [2008/02/27(水) 01:17:58 ID:1DvYGSv9]: まあ一回行ってみりゃわかりますよ。

もっとお手軽に行ければ自腹参加するんだが…
721 名前：デムパゆんゆん [2008/03/03(月) 21:06:19 ID:OIAumudR]: >>720
それなりに収穫あった
とりあえずSUNの中の人にｺﾞﾙｧ!!!出来たから万歳
しかし、人が多かった
上野で声かけられるしなぁ　ホームレスと思われたみたいだ
おっかねぇ町だ
722 名前：login:Penguin mailto:sage [2008/03/03(月) 23:18:59 ID:ktQ1pfWh]: INSTALL くらいいれてほしいのだ
723 名前：デムパゆんゆん [2008/03/03(月) 23:56:45 ID:OIAumudR]: 入れてやるから足開けよ

しかしTOMOYO linuxがいつのまにか鳥になっていそうな勢いだな
ツルボがTOMOYOに

あれ　家に誰か来たようだ
724 名前：login:Penguin mailto:sage [2008/03/04(火) 14:51:39 ID:UNaE2kKe]: 名称をtomoyoでなく、tomoyolinuxにしたのはなぜなんでしょうか？
自分は、最初ディストリかと思いました
725 名前：login:Penguin [2008/03/04(火) 18:59:52 ID:Xm/n3It9]: ツルボって何？
726 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/04(火) 23:08:43 ID:+p3Q60Ul]: >725
「ツ」「ル」「ボ」とローマ字で書いてじっと眺めているとわかるかも。
727 名前：login:Penguin mailto:sage [2008/03/04(火) 23:32:55 ID:SYO2w67u]: リリースのアーカイブの構成はもう少しどうにかならないですか?

COPYING とか INSTALL とかないし…。 ./ に展開されてしまうのもちょっと…。
728 名前：login:Penguin mailto:sage [2008/03/05(水) 01:23:29 ID:TJzYPH0L]: kernel の config 用の説明はもう少し簡略にしてもよくない?
SAKURA のもともとの意味とか冗長だと思う。
729 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/05(水) 06:38:31 ID:wb+X54kg]: 以前もここにあった書き込みを参考にしてリリース内容を変更しました。
問題点や改善の提案、意見があれば727,728のようにお知らせください。
その際できるだけ具体的なほうが助かります。
反映した場合はtomoyo-users, tomoyo-devで報告しますが、ここで提案
されたものはここにも報告します。
730 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/05(水) 07:56:43 ID:wb+X54kg]: >716
記事を書き始めました。
書き上げたら掲載してもらうところをあたってみます。
731 名前：login:Penguin mailto:sage [2008/03/05(水) 17:28:30 ID:3/YYA17u]: turboのことか。
732 名前：login:Penguin mailto:sage [2008/03/05(水) 19:13:54 ID:U7v281x9]: tomoyoってどこで使われてるの？
使用実績とかそういうの
733 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/06(木) 00:25:24 ID:z/SzlC/D]: >732
それはとても興味があることなのですが、ユーザ登録もライセンス契約も
しないで使えてしまうため実績はプロジェクト側ではわからないのです。
（tomoyoに限らず他のOSSもそうだと思います）
逆に使ってもらって報告してもらうと喜んでプロジェクトwikiとかに
掲載しちゃいます。直接ではないですが、多少関係する情報を紹介します。
ttp://www.nisc.go.jp/inquiry/index.html
ttp://sourceforge.jp/projects/tomoyo/document/osr20060515.pdf/ja/1/osr20060515.pdf
734 名前：デムパゆんゆん [2008/03/06(木) 00:52:20 ID:/d7sQRDx]: >>733
うっすらと防衛システムやってまつ。みたいでこわひよﾏﾏﾝ
しんぞ～が叫んでいた日本版ＣＩＡの一片をかいまみますた
こわひので潜行しまつ　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
735 名前：login:Penguin [2008/03/06(木) 18:23:28 ID:GsCrFK3g]: 活動再開。
とりあえず、LKMLの整理から。
736 名前：login:Penguin mailto:sage [2008/03/06(木) 21:41:53 ID:0AVtMOE9]: Ubuntu Server版 + TOMOYOのisoイメージって作成されないの？
737 名前：login:Penguin mailto:sage [2008/03/07(金) 00:28:58 ID:wy4uBxaY]: TOMOYOのリリースっていろんなディストロ用のパッチが入ってるけど意味あるの?
738 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:10:28 ID:c7Zdx7fz]: >737
カーネルバージョンが同じでもディストロごとに使用している
カーネルソースは異なり（修正されており）、
vanillaカーネルのパッチはそのままではあたりません。
そこでコンパイル済みパッケージではなく、自分でビルドする人
ttp://tomoyo.sourceforge.jp/ja/1.5.x/compile.html
のためにわかる範囲で各ディストロ用のパッチを提供しているわけです。
ということで答えになっていますか。
739 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:15:28 ID:c7Zdx7fz]: >735
復帰おめでとうございます。
LKMLはその後大きな動きはありません。セキュリティゴールを
投稿し、vfsmount部分のみを切り出して提案したというのが
主な内容ですが、それらの結果新たな動きはでていません。
LKML提案については、
ttp://elinux.org/TomoyoLinux#Mainline
にインデックスを置いていますから利用ください。
公表はしていませんが、FOSDEM前にAppArmorの人に「合同で
OLSの投稿をしませんか？」と提案しましたが、その際
AppArmorもvfsmount部分を切り出して投稿しようとしていたことが
わかったので、「多分効果ないですよ」とコメントしました。
740 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:18:52 ID:c7Zdx7fz]: gentooの方がebuildを作成してくださいました。
ttp://ebuild.gentoo.gr.jp/view.php?cat=sys-kernel&app=ccs-sources&visible=
ttp://ebuild.gentoo.gr.jp/view.php?cat=sys-apps&app=ccs-tools&visible=
各ディストロ用のパッケージ作成について協力いただける方を募集しています。
741 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:29:33 ID:c7Zdx7fz]: >720
OSC2008/Tokyoの講演資料、講演動画など公開されています。
はてなのキーワードから参照ください。
ttp://d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099
ブースと講演にきていただいた方々ありがとうございました。
デムパ君もきていたようですが、デムパ君は現実世界では
電波を出していないので今回もプロジェクトメンバーは識別できませんでした（笑）。
742 名前：login:Penguin mailto:sage [2008/03/07(金) 08:35:31 ID:wy4uBxaY]: >>738
うーむ、なんといいますか、 vanilla のパッチでも問題なくパッチがあたるも
のに対しても一つずつパッチを発行しているように見うけられるのです。

それは中の人の手間がかかりすぎるのではないかなぁ、と。
743 名前：デムパゆんゆん再浮上 [2008/03/07(金) 21:19:35 ID:Da+wBUIs]: >>742
以前自分も同じ様なこと書いたが、
まぁなんだ　糞ハードでコンパイルするとだな
時間がかかるわけで　armとか　アルマジロとか大変でつ
プロジェクト自体組み込み分野意識しているふいんきでつね

ちなみにパッチ当て
このedoraみたいなうｐだてすると
ハングしちゃうような鳥で　もぅパッチ当てｲﾔとか
特定のバージョンの鳥とか　ありまつか？
一台空きが出そうでつ
しかしパッチ当ててreject出たら直せませんｗ
厳冬はｗ

>>741
リアル電波人間の方が多かったので存在感なかったでつ
ふと思ったのは仮にメインラインに入ったとして
その先の視点はあるのでせうか？

打倒ＮＳＡ!!!　鬼畜米英を排除するﾆﾀﾞ!!!とか
上にあったNISCでせきゅりちぃＯＳとして
防衛システムに耐えられるのか?とか
うん　ＣＴＵみたいだ　ﾌﾟﾌﾟｯﾋﾟﾌﾟ～
それでふぁ　再潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
744 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 22:18:21 ID:c7Zdx7fz]: >743
>>その先の視点はあるのでせうか？
おととい某社で同じことを言われました。

ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
745 名前：デムパゆんゆん再浮上 [2008/03/11(火) 22:35:22 ID:CxtQ3FtA]: >>744
なんとなく言ってみたのが
なんと某社でも同じ事言う人いたのですね
「上司の早く結果お出せ！」　言ってるみたいだ
ごめんよ　ジャック　　トニーがシーズン７で復活だ
交代でつ　でふぁ　潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
746 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/11(火) 23:24:13 ID:zv95Uvxy]: トニーが復活？そんなことアルメイダ・・・。ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
ELC2008、2年連続でつ。でふぁ。ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
747 名前：login:Penguin mailto:sage [2008/03/19(水) 14:40:24 ID:FJ24G3gB]: linux-users に TOMOYO が原因ぽく見えるもので困ってる人がいるけど、いまいち対処がわからない。
748 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/19(水) 23:20:44 ID:x1kDdHhS]: 対処の前に何が起こっているのかが見えません。

"Not activating Mandatory ..."を表示しているのは、確かに
TOMOYOパッチですが、それは"/.initが存在しないからMACを有効にしないよ"
と言っているわけで、それなのにもし何かを制御しているとしたらおかしい。

何らかの理由により（そんなことないよな・・・）MACが有効になっていたと
しても、rebootなどのコマンド「だけ」が実行できなくなるような
状況（＝そうしたポリシーが定義されている状態）はさらにおかしい。

/.initがないことは確認済みなので、TOMOYOは有効になっていないと
考えるのが自然で、そうすると「再起動ができない」と言っている部分を
調べてみる必要があるので質問中。
749 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 00:27:30 ID:DeMn8tFr]: >747
再起動のコマンドの実行が「拒否」されるわけではなくて、
「コマンド自体は通常に実行できるが、システムが終了しない」というのが
症状でした。原因は不明で熊猫先生はデッドロックの可能を示唆しています。
750 名前：login:Penguin [2008/03/20(木) 09:33:38 ID:uHEaUbK8]: TOMOYO初心者ユーザです。
質問があるのですが、skypeをkdm環境から立ち上げるのccs-editpolicyで制御したとしても、
gdm環境等から立ち上げることは出来てしまうのでしょうか。

例えば、kdm環境の場合のドメインは、以下のように設定しています。

<kernel> /etc/init.d/kdm /sbin/start-stop-daemon /usr/bin/kdm
/etc/kde3/kdm/Xsession /usr/bin/ssh-agent /usr/bin/dbus-launch /bin/sh
/usr/bin/startkde /usr/bin/start_kdeinit_wrapper
/usr/bin/start_kdeinit /usr/bin/kdeinit /usr/bin/skype

しかし、startrxでXを立ち上げた場合は、以下のようなドメインは許可されてしまうのでしょうか。

<kernel> /sbin/getty /bin/login /bin/bash /usr/bin/startx
/usr/bin/xinit /bin/sh /usr/bin/ssh-agent /usr/bin/dbus-launch
/usr/bin/seahorse-agent /bin/sh /usr/bin/gnome-session
/usr/bin/gnome-panel /usr/bin/skype
751 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 11:26:54 ID:DeMn8tFr]: こんにちは。TOMOYO Linuxはデフォルトでは起動履歴が異なるものは
別ドメインとして扱います。したがって上記2つは独立なドメインなので
それぞれアクセスを定義しないといけません。
しかし、/usr/bin/skypeについて「どのように起動されていても
同じように扱いたい（1つのドメインとして扱いたい）」場合は、
initialize_domainとして登録しておくことにより、上記2つ以外を
含め、/usr/bin/skypeをひとつのドメインとして例外的に扱えます。
詳しくは、下記を参照ください（またわからなければお気軽に質問ください）。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/policy-reference.html
752 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 11:31:11 ID:DeMn8tFr]: もうひとつのやり方は、kdmのほうで定義したポリシーを該当するgdmの
ドメインの部分にエディタで貼り付けても同じです。一度savepolicyで
保存したポリシーはプレインテキストですから、viでもemacsでも
該当する部分を見つけて複写するのは簡単です。

TOMOYOでは標準（デフォルト）の状態で、ドメインを細かく（自動的に）
定義しますから、それを支障のない範囲で統合するというのが
ポリシーのチューニングになります。それに対して、SELinuxなどでは
ドメインの定義を細かくしたければ、リファレンスポリシーを自分で
再定義して分割する形になるはずで、考え方や使い方が異なります。
753 名前：750 mailto:sage [2008/03/20(木) 12:29:18 ID:uHEaUbK8]: >>749
ありがとうございます。
例えば、/home/hoge/.Skype 直下にのみrwを許可する場合は、
こういう風に書けばいいのでしょうか。

--(exception_policy.conf)------------
initialize_domain /usr/bin/skype
-------------------------------------

--(domain_policy.conf)---------------
<kernel> /usr/bin/skype
/use_profile 3

6 /home/hoge/.Skype/\*
-------------------------------------
754 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 13:18:50 ID:DeMn8tFr]: >>753
initialize_domainはそれでOKです。これを記述するファイルが
exception_policy.confなのは、「ポリシーの扱いを例外的に標準とは
違うやり方」で扱うからです。
domain_policy.confですが、use_profileの前の"/"は不要（間違い）ですし、
手順としては、(1)まずinitilizeの効果を確認し、(2)そのドメインで学習させる、
(3)学習結果を見てチューニング、(4)作成したポリシーで確認を行い、
(5)最後にエンフォースです。（別にこの通りでなくても良いですが）
755 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 13:27:43 ID:DeMn8tFr]: ポリシーのチューニングについて、Software Design連載の3月号の
内容が参考になります。Wiki化されています。
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-3
756 名前：750 mailto:sage [2008/03/20(木) 14:11:56 ID:uHEaUbK8]: >>754-755
なるほど、ご教授ありがとうございます。
しかし、

- 全体のプロファイルはゆるめ(1とか2)にしておきたい
- このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい

という場合は、どのようにすればいいでしょうか。
管理者としては、学習がちゃんと出来ているかどうかの確認と、万が一制限がきつ過ぎてサービス停止を起こしてしまったとかが、不安なところなのですが(^^;A
757 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 14:29:54 ID:DeMn8tFr]: >>756
> - 全体のプロファイルはゆるめ(1とか2)にしておきたい
> - このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい
TOMOYO Linuxではドメインごとにプロファイル（動作の内容）を変更
できますから、上記は、initializeしたSkypeのドメインだけを
エンフォースにすれば（エンフォースのprofileに変更すれば）
特に難しいことなく実現できますよ。操作はeditpolicyで、ドメインを
選択して、sを押下、割り当てるプロファイルを入力するだけです。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/tool-editpolicy.html
「不安なところ」についてはごもっともで注意が必要なところです。
ここはひとつ熊猫先生に登場してもらいましょう。
758 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 14:38:09 ID:DeMn8tFr]: >>757
>特に難しいことなく実現できますよ。
このあたりの感覚はLiveCDで試していただくと一番わかりやすいと
思います。LiveCDは全ドメインが学習モードで起動しますから、
シェルのドメインを選んでプロファイルを強制にすると
そのシェルのドメインだけが制限されて他は自由という状態になります
（これは最近よくデモで紹介する内容です）。
ttp://tomoyo.sourceforge.jp/wiki/?TomoyoLive

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef