TOMOYO Linux

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/09 18:21 / Filesize : 339 KB / Number-of Response : 913
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

TOMOYO Linux

1 名前：login:Penguin [2006/07/07(金) 16:28:14 ID:+/HOu7cX]: 向こうはスレッド名がよくないのとＣＣさくらヲタしか集まってこないのでフォークした。
重複ではないと思っている。

TOMOYO Linux プロジェクト
tomoyo.sourceforge.jp/ja/doc/index.html
741 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 07:29:33 ID:c7Zdx7fz]: >720
OSC2008/Tokyoの講演資料、講演動画など公開されています。
はてなのキーワードから参照ください。
ttp://d.hatena.ne.jp/keyword/TOMOYO%20Linux?kid=81099
ブースと講演にきていただいた方々ありがとうございました。
デムパ君もきていたようですが、デムパ君は現実世界では
電波を出していないので今回もプロジェクトメンバーは識別できませんでした（笑）。
742 名前：login:Penguin mailto:sage [2008/03/07(金) 08:35:31 ID:wy4uBxaY]: >>738
うーむ、なんといいますか、 vanilla のパッチでも問題なくパッチがあたるも
のに対しても一つずつパッチを発行しているように見うけられるのです。

それは中の人の手間がかかりすぎるのではないかなぁ、と。
743 名前：デムパゆんゆん再浮上 [2008/03/07(金) 21:19:35 ID:Da+wBUIs]: >>742
以前自分も同じ様なこと書いたが、
まぁなんだ　糞ハードでコンパイルするとだな
時間がかかるわけで　armとか　アルマジロとか大変でつ
プロジェクト自体組み込み分野意識しているふいんきでつね

ちなみにパッチ当て
このedoraみたいなうｐだてすると
ハングしちゃうような鳥で　もぅパッチ当てｲﾔとか
特定のバージョンの鳥とか　ありまつか？
一台空きが出そうでつ
しかしパッチ当ててreject出たら直せませんｗ
厳冬はｗ

>>741
リアル電波人間の方が多かったので存在感なかったでつ
ふと思ったのは仮にメインラインに入ったとして
その先の視点はあるのでせうか？

打倒ＮＳＡ!!!　鬼畜米英を排除するﾆﾀﾞ!!!とか
上にあったNISCでせきゅりちぃＯＳとして
防衛システムに耐えられるのか?とか
うん　ＣＴＵみたいだ　ﾌﾟﾌﾟｯﾋﾟﾌﾟ～
それでふぁ　再潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
744 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/07(金) 22:18:21 ID:c7Zdx7fz]: >743
>>その先の視点はあるのでせうか？
おととい某社で同じことを言われました。

ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
745 名前：デムパゆんゆん再浮上 [2008/03/11(火) 22:35:22 ID:CxtQ3FtA]: >>744
なんとなく言ってみたのが
なんと某社でも同じ事言う人いたのですね
「上司の早く結果お出せ！」　言ってるみたいだ
ごめんよ　ジャック　　トニーがシーズン７で復活だ
交代でつ　でふぁ　潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
746 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/11(火) 23:24:13 ID:zv95Uvxy]: トニーが復活？そんなことアルメイダ・・・。ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
ELC2008、2年連続でつ。でふぁ。ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
747 名前：login:Penguin mailto:sage [2008/03/19(水) 14:40:24 ID:FJ24G3gB]: linux-users に TOMOYO が原因ぽく見えるもので困ってる人がいるけど、いまいち対処がわからない。
748 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/19(水) 23:20:44 ID:x1kDdHhS]: 対処の前に何が起こっているのかが見えません。

"Not activating Mandatory ..."を表示しているのは、確かに
TOMOYOパッチですが、それは"/.initが存在しないからMACを有効にしないよ"
と言っているわけで、それなのにもし何かを制御しているとしたらおかしい。

何らかの理由により（そんなことないよな・・・）MACが有効になっていたと
しても、rebootなどのコマンド「だけ」が実行できなくなるような
状況（＝そうしたポリシーが定義されている状態）はさらにおかしい。

/.initがないことは確認済みなので、TOMOYOは有効になっていないと
考えるのが自然で、そうすると「再起動ができない」と言っている部分を
調べてみる必要があるので質問中。
749 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 00:27:30 ID:DeMn8tFr]: >747
再起動のコマンドの実行が「拒否」されるわけではなくて、
「コマンド自体は通常に実行できるが、システムが終了しない」というのが
症状でした。原因は不明で熊猫先生はデッドロックの可能を示唆しています。
750 名前：login:Penguin [2008/03/20(木) 09:33:38 ID:uHEaUbK8]: TOMOYO初心者ユーザです。
質問があるのですが、skypeをkdm環境から立ち上げるのccs-editpolicyで制御したとしても、
gdm環境等から立ち上げることは出来てしまうのでしょうか。

例えば、kdm環境の場合のドメインは、以下のように設定しています。

<kernel> /etc/init.d/kdm /sbin/start-stop-daemon /usr/bin/kdm
/etc/kde3/kdm/Xsession /usr/bin/ssh-agent /usr/bin/dbus-launch /bin/sh
/usr/bin/startkde /usr/bin/start_kdeinit_wrapper
/usr/bin/start_kdeinit /usr/bin/kdeinit /usr/bin/skype

しかし、startrxでXを立ち上げた場合は、以下のようなドメインは許可されてしまうのでしょうか。

<kernel> /sbin/getty /bin/login /bin/bash /usr/bin/startx
/usr/bin/xinit /bin/sh /usr/bin/ssh-agent /usr/bin/dbus-launch
/usr/bin/seahorse-agent /bin/sh /usr/bin/gnome-session
/usr/bin/gnome-panel /usr/bin/skype
751 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 11:26:54 ID:DeMn8tFr]: こんにちは。TOMOYO Linuxはデフォルトでは起動履歴が異なるものは
別ドメインとして扱います。したがって上記2つは独立なドメインなので
それぞれアクセスを定義しないといけません。
しかし、/usr/bin/skypeについて「どのように起動されていても
同じように扱いたい（1つのドメインとして扱いたい）」場合は、
initialize_domainとして登録しておくことにより、上記2つ以外を
含め、/usr/bin/skypeをひとつのドメインとして例外的に扱えます。
詳しくは、下記を参照ください（またわからなければお気軽に質問ください）。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/policy-reference.html
752 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 11:31:11 ID:DeMn8tFr]: もうひとつのやり方は、kdmのほうで定義したポリシーを該当するgdmの
ドメインの部分にエディタで貼り付けても同じです。一度savepolicyで
保存したポリシーはプレインテキストですから、viでもemacsでも
該当する部分を見つけて複写するのは簡単です。

TOMOYOでは標準（デフォルト）の状態で、ドメインを細かく（自動的に）
定義しますから、それを支障のない範囲で統合するというのが
ポリシーのチューニングになります。それに対して、SELinuxなどでは
ドメインの定義を細かくしたければ、リファレンスポリシーを自分で
再定義して分割する形になるはずで、考え方や使い方が異なります。
753 名前：750 mailto:sage [2008/03/20(木) 12:29:18 ID:uHEaUbK8]: >>749
ありがとうございます。
例えば、/home/hoge/.Skype 直下にのみrwを許可する場合は、
こういう風に書けばいいのでしょうか。

--(exception_policy.conf)------------
initialize_domain /usr/bin/skype
-------------------------------------

--(domain_policy.conf)---------------
<kernel> /usr/bin/skype
/use_profile 3

6 /home/hoge/.Skype/\*
-------------------------------------
754 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 13:18:50 ID:DeMn8tFr]: >>753
initialize_domainはそれでOKです。これを記述するファイルが
exception_policy.confなのは、「ポリシーの扱いを例外的に標準とは
違うやり方」で扱うからです。
domain_policy.confですが、use_profileの前の"/"は不要（間違い）ですし、
手順としては、(1)まずinitilizeの効果を確認し、(2)そのドメインで学習させる、
(3)学習結果を見てチューニング、(4)作成したポリシーで確認を行い、
(5)最後にエンフォースです。（別にこの通りでなくても良いですが）
755 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 13:27:43 ID:DeMn8tFr]: ポリシーのチューニングについて、Software Design連載の3月号の
内容が参考になります。Wiki化されています。
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-3
756 名前：750 mailto:sage [2008/03/20(木) 14:11:56 ID:uHEaUbK8]: >>754-755
なるほど、ご教授ありがとうございます。
しかし、

- 全体のプロファイルはゆるめ(1とか2)にしておきたい
- このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい

という場合は、どのようにすればいいでしょうか。
管理者としては、学習がちゃんと出来ているかどうかの確認と、万が一制限がきつ過ぎてサービス停止を起こしてしまったとかが、不安なところなのですが(^^;A
757 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 14:29:54 ID:DeMn8tFr]: >>756
> - 全体のプロファイルはゆるめ(1とか2)にしておきたい
> - このプロセスだけは、root権限で動くので、TOMOYOで制限をかけたい
TOMOYO Linuxではドメインごとにプロファイル（動作の内容）を変更
できますから、上記は、initializeしたSkypeのドメインだけを
エンフォースにすれば（エンフォースのprofileに変更すれば）
特に難しいことなく実現できますよ。操作はeditpolicyで、ドメインを
選択して、sを押下、割り当てるプロファイルを入力するだけです。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/tool-editpolicy.html
「不安なところ」についてはごもっともで注意が必要なところです。
ここはひとつ熊猫先生に登場してもらいましょう。
758 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 14:38:09 ID:DeMn8tFr]: >>757
>特に難しいことなく実現できますよ。
このあたりの感覚はLiveCDで試していただくと一番わかりやすいと
思います。LiveCDは全ドメインが学習モードで起動しますから、
シェルのドメインを選んでプロファイルを強制にすると
そのシェルのドメインだけが制限されて他は自由という状態になります
（これは最近よくデモで紹介する内容です）。
ttp://tomoyo.sourceforge.jp/wiki/?TomoyoLive
759 名前：750 mailto:sage [2008/03/20(木) 15:01:20 ID:uHEaUbK8]: > 上記は、initializeしたSkypeのドメインだけを
> エンフォースにすれば（エンフォースのprofileに変更すれば）
> 特に難しいことなく実現できますよ。

なるほど！その手がありましたｗ。
ありがとうございます。

大変恐縮なのですが、その場合は domain_policy.conf に use_profile 3 で
設定すればいいのでしょうか。
760 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 15:18:41 ID:DeMn8tFr]: >>759
editpolicy（あるいはeditpolicy.sh）を使えば、ドメインのところに
カーソルを移動して、「s」を押すとプロンプトがでますから、
「3」のようにするとOKです。（その状態でsavepolicyを実行すると
use_profile 3なconfが保存されます。ただLiveCDは再起動すると
初期化されるのでご注意くださいw）
761 名前：750 mailto:sage [2008/03/20(木) 15:37:58 ID:uHEaUbK8]: >>760
なるほど、色々ありがとうございますm(__)m
762 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 15:46:01 ID:DeMn8tFr]: >>761
いえいえ、どういたしまして。(_ _)
Software Designの最新号に「TOMOYO Linuxの歩き方」という記事が
あるので、そちらも是非参考にしてください。
763 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/20(木) 16:01:11 ID:DeMn8tFr]: プロファイルの変更について、LiveCDのチュートリアルを参考に紹介して
おきます。LiveCDは実験、練習に最適です。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/1st-step/ubuntu7.10-live/
764 名前：デムパゆんゆん [2008/03/20(木) 23:34:23 ID:f6kDCfqH]: おはぎゃぁ～～～
MLのツルボネタ読んだ。
うｐだてのスクリプトエラーで/.initが入ってないかとも思ったが、
リモートから進入されてないか？ｗという不安が頭をよぎった。
つるぼは時々わけわからんエラーでるからのぅ
何このしばいたろか？みたいな　うｐだてに失敗することもあった。
必要なライブラリが入ってなかったり
いつの間にか依存で一緒になくなってたり
そういやgrub.confとかにinit=/.initだっけ？
アレ書いてないと大変なことにｗ

誰もやってないならｳﾘが発祥ﾆﾀﾞ!と叫べる
linuxぶちあげたリーナスみたく　全力でｵﾚ様仕様だな
うん　OLS2008独演会一本目採用おめ
765 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/21(金) 17:20:10 ID:6zckFVut]: >>764
>うん　OLS2008独演会一本目採用おめ
どうもありがとう。ただ、直接TOMOYOの発表（提案）ではなく、
Linux自体の話になるため少々複雑な心境です。
プロジェクトとしてはあと熊猫先生の2件のうちの1件
(Tutorial)が現在結果待ち。発表予定は既にサイトで確認できます。
SELinuxはやはり強い。
ttp://www.linuxsymposium.org/2008/speakers.php?types=TALK
ttp://www.linuxsymposium.org/2008/speakers.php?types=TUTORIAL
ttp://www.linuxsymposium.org/2008/speakers.php?types=bofs
766 名前：login:Penguin mailto:sage [2008/03/22(土) 00:17:06 ID:I+OQFn9y]: >>765
汝のあるべき姿で語りたいなｗ
767 名前：login:Penguin mailto:sage [2008/03/22(土) 21:02:15 ID:jTH0sfih]: >>765
SELinuxはテンプレ化が進んでるからですかねぇ(と新参者ですが)。
768 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/23(日) 16:59:10 ID:wJIqMRFs]: >>767
昨年と比べてSELinuxが急激に普及したり、使いやすさが大幅に改善されたとは
思えません。またELC, OLSに参加してみて、Linux自体として
特にセキュリティ強化(MAC)に関心が高いともいえない状況であることを
感じました。

そうしたことから今年はSELinuxを含め「個別の実装に関する詳細」や
「個別の機能や仕様を前提としたもの（含むチュートリアル）」は
採用されにくく、運用上の課題やその改善に関するものがメインテーマに
なると予想していました。しかし、考えてみると採択を決めるのは
選考委員会のメンバーですから、たまたま選考メンバー
(ttp://www.linuxsymposium.org/2008/cfp.php)が
興味を持っているか事情通でなければそうした事情は考慮されなくて
普通かもしれません。

そう考えるとSELinuxを使ってみようという人は着実に増えているでしょうし、
ドキュメントやツールなども改善作業が続いていますから、
チュートリアルや（一般向けの次のステップとしての）組み込みなどの
発表が採択されるのはわかります。（長文御免）
769 名前：デムパゆんゆん [2008/03/24(月) 21:41:30 ID:HGnMjrSK]: ttp://itpro.nikkeibp.co.jp/article/NEWS/20080320/296641/?ST=oss
こんなもの発見　NISC万歳
ＢＳＤのようにwheelグループに所属させないと　suできないとか
ともよﾀﾝでパス管理する
ただ管理するだけでなくもう一段深く逝っちゃったみたいな
一種の仮想化だな　chroot環境みたいな
wheelグループに所属したユーザtomoyoからなら/dev/sdc1が見える
普通に/dev/sdc1と打ってもそんなファイルないﾆﾀﾞ!!!とか

リモートから　/dev/sdc1のＣＤドライブにアクセスしても出来ない
パスの拒否と言うよりは　登録されたパスのみ許可
山田びみょーにニュアンスが違う
うん　アレだ　昨日レンタルで借りたダイハードに感化されちまぅこの頃
ネットワークもだな
仮想化すると　スクランブル発信の衛星電話でトニーと会話が出来ちゃうかな
攻撃は外からでなく中からも意識汁！とシーズン３で学習した
ジャックとかトニーとか　なんだこの２ちゃん脳は
www.foxjapan.com/tv/bangumi/24
シーズン１からがんばってレンタルしてみる
小春日和　更なる電波が脳内で飛散中　うむ
770 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 06:48:45 ID:RbKuLlro]: >>769
>こんなもの発見　NISC万歳
この写真は何か変です（笑）が、BitVisorは用途によっては面白い
使い方ができると思います。
>攻撃は外からでなく中からも意識汁！とシーズン３で学習した
誰にでも権限を与えるわけにはいかないが、ジャックに権限を与えないと
解決しない。与えて良い相手に与えるべきときに権限を与えることが
できるのが理想だが現実は・・・。そのように見ると24は実に味わい深いデス。
771 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 06:50:58 ID:RbKuLlro]: 768と769を見て、やっぱり2ちゃんに長文は良くない（合わない）と思いました。
それはともかく、SF.jpのtomoyoプロジェクトの月間pvがついに名前騒ぎの時の
記録を更新しました。
ttp://sourceforge.jp/project/stats/index.php?report=months&group_id=1973
772 名前：login:Penguin mailto:sage [2008/03/25(火) 11:01:00 ID:xBK01x+J]: > それはともかく、SF.jpのtomoyoプロジェクトの月間pvがついに名前騒ぎの時の
> 記録を更新しました。

オメ
773 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 18:59:16 ID:QRHjGLzC]: >>772
ガト!
774 名前：login:Penguin mailto:sage [2008/03/25(火) 21:46:58 ID:DkOcBX+S]: 厨な質問なのですが、何故イニシャルドメインだけで学習って出来ないんだろう。。
フルパス(？)ドメインでなくてもいい気がするんですが。
775 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 22:56:14 ID:RbKuLlro]: >>774
<kernel> /somewhere/foo /anywhere/bar の代わりに
<kernel> foo bar で、ということですか？
776 名前：login:Penguin mailto:sage [2008/03/25(火) 23:15:14 ID:DkOcBX+S]: >>775
> >>774
> <kernel> /somewhere/foo /anywhere/bar の代わりに
> <kernel> foo bar で、ということですか？

そうですね。いっそのこと、

<kernel> * /usr/bin/skype *

とかはダメ？ｗ
777 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 23:41:35 ID:RbKuLlro]: >>776
もし、「どんな順番で起動されたかにかかわらず/usr/bin/skypeおよびそれから
起動されたプロセスをひとつのドメインとして扱いたい（ゴルァ）」という意味で
あれば、それは既に現在の仕様で対応できていますよ。(^-^)v
778 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/25(火) 23:46:18 ID:RbKuLlro]: それは要素としては、
・「（起動順番にかかわらず）とにかく/usr/bin/skypeをドメインにする」
・「/usr/bin/skypeが他のプログラムを実行(exec)してもドメインを分けない」
ということですが、initialize_domain, keep_domainがそのための指定です。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/policy-reference.html
779 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/26(水) 00:01:46 ID:RbKuLlro]: もしskypeだけでなくすべてのプログラムを履歴なしにフラットに
扱いたければ、AppArmorはそのようになっています。ただ、
容易に想像できるように「すべてのプログラム」のポリシー（プロファイル）
が提供されているわけではありません。
780 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/26(水) 00:11:12 ID:gHPNZ0WQ]: ドメイン遷移は図があったほうがわかりやすいですね。ということで
今日はここまで。
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-3
781 名前：775 mailto:sage [2008/03/26(水) 10:06:33 ID:FOAtd5Rg]: >>780
ありがとうございます！無事、initialize_domain設定したskypeのdomain_policyを学習させることが
出来ました。行が長いので、base64でエンコードさせて頂きました。
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 名前：775 mailto:sage [2008/03/26(水) 10:07:14 ID:FOAtd5Rg]: (>781の続き)
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783 名前：login:Penguin mailto:sage [2008/03/26(水) 12:41:32 ID:FOAtd5Rg]: ちょっと思ったのですが/etc/xinet.d/* のように、
配置できると嬉しいかなぁと思いました。
素人ですが^^

/etc/ccs/domain.d/skype.conf
784 名前：デムパゆんゆん [2008/03/27(木) 00:07:15 ID:4Ic0r+jb]: >>780
＞今日はここまで。
そう言わずにもう一軒　ええ店見つけましてん。
785 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/27(木) 01:27:26 ID:GkuWGSy/]: >775
ポリシー設定ありがとうございました。
開発メンバーに見てもらいましたが、特に問題なく良い設定とのコメントでした。
こうした例を公開する場所があると良いかもしれませんね。
786 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/27(木) 01:35:59 ID:GkuWGSy/]: >>783
面白いアイデアと思い開発メンバーに紹介しましたが、どうも
今ひとつくいつきがよくありませんでした。
ただ、loadpolicyコマンドを使えば、ポリシーの（追加）読み込みが
できますから、skype.confのように分割されたポリシー定義を
読み込ませるようなスクリプトを書けば、現仕様のまま実現できます。
ttp://tomoyo.sourceforge.jp/ja/1.5.x/tools-doc.html
787 名前：775 mailto:sage [2008/03/27(木) 14:35:51 ID:36/2jW14]: >>785
あ、そのプロファイルは自分の暫定的なものです^^。

>>786
なるほどです。ありがとうございます。
788 名前：login:Penguin [2008/03/27(木) 22:15:54 ID:aUlsUaZR]: インストールしましたが
全然「ほえ～」でもなければ「はにゃ～ん」でもありませんでした

なにか設定が間違っているのでしょうか？？
789 名前：login:Penguin mailto:sage [2008/03/27(木) 22:41:13 ID:LLacTuUH]: >>788
確かtcshをインストールしないと
790 名前：login:Penguin mailto:sage [2008/03/27(木) 23:32:29 ID:aUlsUaZR]: >>789
ググってもＨＰ見てもなんかよくわかりませんでした

ｋｗｓｋお願いします　＞＜　ヒントだけでも
791 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/27(木) 23:46:38 ID:GkuWGSy/]: >>788
設定というよりは板が違っています（合掌）。

>>790
多分、下のようなことかな？
ttp://www1.linkclub.or.jp/~zhidao/zlab/computing/tcshjacatalog.html

しかし、これはTOMOYO Linuxの機能ではないので、そこのところよろしく (--;
792 名前：login:Penguin mailto:sage [2008/03/28(金) 00:21:02 ID:Xn8XQWtD]: ほえ～
なんとなくわかりました

もともとそういうのじゃなかったんですね　＞＜
793 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/28(金) 00:33:42 ID:LvZYfaJl]: >>792
まぎらわしくてすみません。(_ _)
誰も読んでいないと言われていますが、一応FAQもあります。
ttp://tomoyo.sourceforge.jp/wiki/?QandA
これも何かの縁ということで、良ければまた遊びにきてください。
794 名前：login:Penguin mailto:sage [2008/03/31(月) 19:15:11 ID:rAd33tqq]: tcshカタログの話題はUnix板でということなのか、
CCさくら板行けということなのか、激しく迷いますな
795 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/03/31(月) 22:47:53 ID:QQCeYF87]: >>794
>激しく迷いますな
私が2chで読んでいる板はここだけで、実は他にどんな板があるか
さっぱりわかっていません。なのでどんな板が良いというコメントはできないのです。
なお、言いたかったのは、「探しているものはここ（この板）にはありませんよ
（時間をかけて探しても見つかりませんよ）」という意味です。
796 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/08(火) 22:11:01 ID:+7lkCNUj]: 4/4に7度目のLKML提案を行いました。Stephenから「どういうつもりだ？」と
いう励ましのメール（私信）をもらいました。
ついにSELinux陣営あるいはNSAと決着をつけるときがきたのかもしれません。
これから戦いを始めます。
797 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/08(火) 22:14:11 ID:+7lkCNUj]: TOMOYOのメインライン提案のスレッドは、
ttp://elinux.org/TomoyoLinux
ttp://tomoyo.sourceforge.jp/wiki-e/?WhatIs#mainlining
あたりからたどってください。

逝ってきます。
798 名前：デムパゆんゆん [2008/04/10(木) 03:44:28 ID:zrE8TllQ]: 大本営ﾊﾋﾟｮｰ
硫黄島の決戦でつか　
栗林中将でつね　4月４日は真珠湾の奇襲のようでもありまつ
ﾄﾗﾄﾗﾄﾗでつね
中将殿に武運長久
天皇陛下万歳!!!
799 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/10(木) 06:31:25 ID:tRh1J33s]: >>798
>4月４日は真珠湾の奇襲のようでもありまつ
言われてみれば確かにそうなのです。さすがデムパ君でつね。
4/9の投稿は、さりげなくこれまでの歩みをアピールしているのが
ポイントでつ。「ちゃんとやってきているからいれてほすぃ」と
せつせつと訴えていまつ。PacSecもFOSDEMも実はいつかこうして
NSAに宣戦布告をするときのための準備だったのでつ。壮大な計画で、
大石内蔵助なのでつ。この意味がわかれば、デムパ君の電波も相当でつ。
ここからは大きな失敗をしなければ勝てるはずでつ。
でふぁ
800 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/10(木) 06:34:36 ID:tRh1J33s]: TOMOYO Linuxの今までの経緯をわかつて読めば、
今のLKMLのスレッドはとてつもなく面白いのでつ
（やってるほうは大変なのでつが）。
巨大な陰○との最終決戦でつ。
801 名前：login:Penguin [2008/04/10(木) 08:48:39 ID:MSodk0Ja]: またサボってしまった（汗＆謎

書き、書き、理解。
802 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/12(土) 07:48:15 ID:z8OrFnDV]: 4/4のLKMLへの投稿について、おそらく初めてStephenからレスが
ついていますが、その他に私信で、「なにやってるんだ？」という
内容のメールをもらいました。
LKMLでは今もStephenとのやりとりが続いていますが、彼はそれとは別に
私信でも熊猫先生に提案について意見、助言をしてくれています。
「手伝って」くれています。
4/4の投稿については、Andrew Mortonからも熊猫先生に私信が届いています。
803 名前：デムパゆんゆん [2008/04/12(土) 10:06:32 ID:5715pAtk]: 思考停止逆切れ作戦なのかマヂなのか　ﾜﾛﾀ
大量パッチ放火
ん？
SELinuxがあるだろ常孝
LSMいらんだろ常孝
長文うぜ～
お茶飲む?
なんだよ　２ちゃん脳ばっかりぢゃないかw
今までカーネルセキュリティー全力で逃げてたしな
神様とかアランとか　LSMの時も全力で後ろ向いて
ｦﾚ忙しいし　うん　ちょっとトイレとか
うん　ぢゃぁ　入れる　といやいや入れてた記憶がある
ポールの思考停止いいねいいね　ツンデレなのか　ひねくれてんのか
記憶は捏造できる　ﾌﾌﾝ
804 名前：login:Penguin mailto:sage [2008/04/15(火) 01:21:37 ID:DYlit/aQ]: >>799
別にその辺で喋ったからどうこうつうのはあまり関係ないと思うわけで。
その結果えらい人が興味を持って味方してくれれば別なんだけど。
# 俺が外で喋るのは入れてもらってからなんでよくわからん。

まあとりあえず今のは既存コードへの影響がでかすぎて、レビューすら
やってもらえん状態じゃないかと。
805 名前：login:Penguin mailto:sage [2008/04/15(火) 01:27:21 ID:DYlit/aQ]: >>803
えらい人はそういうのに興味がない＆よくわからんので関わり合いを避けたい。
というのが本音なのでつ。

なのでLSMという壁を作って、セキュリティのことは壁の向こうで話し合えや。
LKMLに持ってくるんじゃねえ。てことにしたのでつ。
806 名前：デムパゆんゆん [2008/04/15(火) 02:16:30 ID:gc7ozife]: >>805
やるなら今しかねぇｗ
誰だって面倒なことしたくね～　　　ｦﾚもだ　　　正直面倒

＞まあとりあえず今のは既存コードへの影響がでかすぎて、レビューすら
＞やってもらえん状態じゃないかと。
激しく同感　返信の中にＬＳＭの中でやってくれないかとかあったし
本体に影響しない仕様変更とか出来ないなら
ＬＳＭの仕様変更とか　結局メンテナの負担だわな
つかＬＳＭの人がずっと思考停止ｗ　ともよ？　ｲﾗﾈだし
807 名前：login:Penguin [2008/04/15(火) 03:16:42 ID:NNSBLErA]: selinuxに挫折したオレ
サルでもわかるTOMOYOってどこかにない？
808 名前：login:Penguin mailto:sage [2008/04/16(水) 00:02:58 ID:aGXleYF5]: >>807
TOMOYOはSE Linuxと比較したら解りやすいと思う
多分必要なのはMACやアクセス権、システムコールって何？といった知識だと思う
LiveCDで学習モードのまま眺めてればなるほどと思うかも
ttp://tomoyo.sourceforge.jp/wiki/?TomoyoLive
809 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 01:03:29 ID:PeDWAeKt]: >>807
ツルボから始めてみるのはどうかな？
インスコしたり試すのはツルボでなく他の鳥でもできるけれど
ツルボだと、鳥をつくっているチームとTOMOYOチームが合同で
作ったポリシー（サポート不要なら参照は無料）があるから、そこから
始めてみるには良いと思う。
ttp://www.turbolinux.co.jp/products/server/11s-tomoyolinux.html
810 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 01:08:15 ID:PeDWAeKt]: >>808
>LiveCDで学習モードのまま眺めてればなるほどと思うかも
確かに。先日LiveCDのポリシーをlxrにあげますた。
ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source/ubuntu-7.10-ccs-1.5.3/domain_policy.conf?v=policy-sample
811 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 01:15:39 ID:PeDWAeKt]: 隊長、報告が遅くなりまつたが、ELC2008会場に潜入しますた！
Henry Kingmanのキーノートが始まっていまつ。英語です。（笑）
今のところ敵の姿はありません。
何かあれば、どこよりも早くここで報告します。でふぁ
812 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 02:59:53 ID:PeDWAeKt]: 隊長、TOMOYOセッションについて報告します。
講演用のPCが前日起動しなくなり、システムの復元を行い本番に
備えましたが、講演直前の５分前に再び不調、バックアップ機を
用意しましたが、そちらも原因不明で起動しないという
ありえないほど過酷な状況の中、なんとか本番直前に復帰、講演を完遂しますた。
参加者は約２０名、主な質疑はポリシーの記法に関する内容と
初期設定を行うためのツールの有無、CPUアーキテクチャ依存でした。
813 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 06:41:01 ID:PeDWAeKt]: LWN.netのJake Edgeの講演が終わりました。
"Avoiding Web Applications Flaws in Embedded Devices"というタイトル
ですが、既に資料が公開されています（TOMOYOの名前もでてきます）。
ttp://lwn.net/talks/elc2008/img0.html

といっている間に、中村さんの講演が始まりました。
814 名前：login:Penguin mailto:sage [2008/04/16(水) 07:00:47 ID:aGXleYF5]: おはようございます。

Jakeのプレゼン資料を見た限りでは組み込み関係なくWebApplication作成時の注意で
それに加えて組み込み系にありがちなURL固定とか認証サボりがあるから余計に注意しろよーって話みたいですねー
で、TOMOYOがあると必要としないモジュールを洗い出すのに便利っすよみたいな感じで触れたのかしら？
それともPathチェック漏れでもTOMOYOが有れば防げるかもみたいな感じかにゃ？
815 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:14:36 ID:PeDWAeKt]: 説明的には、「こうした技術を使えば、OSレベルで被害を軽減することも
できるようだよ」というくらいの感じでした。正直言って、Jakeはあまりこのあたり（セキュアLinux）に
明るくないように見えました。
816 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:32:41 ID:PeDWAeKt]: 中村さんの発表が終わり、まもなく海外さんの発表が始まります。
今日は初日でつが、夜にはセキュアEmbeddedのBOFもあり、一日に
集中してしまいまつた。時差がこたえまつ。中村さんの発表は、
内容はわかったのですが、もともとTOMOYOであれば実現/対応できていること
ばかりのような気がして、「何故あえて（組み込みで）SELinuxでつか？」と
いう疑問が生じてしまいます。
817 名前：login:Penguin mailto:sage [2008/04/16(水) 07:44:32 ID:aGXleYF5]: >>815
まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。
組み込みじゃないWebApplicationの監査とかやってる人から見れば何を今更な話題なのかも。

悪意のあるユーザーからのリクエストを直接受け付けないから比較的安全と思われてた組み込み形も
ブラウザやらプラグインやらの穴を使ったりしたXSSやらXSRFやらで危険に晒されてるって事が重要なんですよね。多分。

実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにするとWAN側が開いて謎の裏口ID&パスで入れるようになったり(w
一応NTTのメンテナンス用IP帯からしか接続受け付けないようになってるっぽいしデフォルトOFFですが・・・
818 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:50:26 ID:PeDWAeKt]: >>817
>まぁ、詳細解説ってわけでもなく時間も足りないからちょっと物足りないですね。
そうですね。あと、どうしてLWNの人がこの話題なのかなと思いました。
>実際自宅にあるNTTから貸与されてるルータも遠隔メンテONにすると・・・
ルータ（英語の発音だと「ラウター」に近い）はよくやられるという
話がでていました。

海外さんの話が始まりましたが、「そもそもセキュアOSとは」とか
「Protection Profileとは」というところから始めています。(@_@; びっくり
819 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 07:58:24 ID:PeDWAeKt]: >>816
やはりTOMOYOはまだまだ知られていなくて、組み込み分野を含めて
本当はTOMOYOだとうまく解決できる場合もそれに気づいてもらえていないのか
と思います。そういった意味でもメインライン化はやはりどうしても
なしとげたいです。

会議に出る目的のひとつは、TOMOYOを含めたセキュアOSに対する「温度」を
はかることで、講演の参加者と質疑が参考情報です。今年は昨年よりは確実に
高まっていると思いますが、まだ一部の人という印象です。
820 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:06:02 ID:PeDWAeKt]: さきほど、LXRにversion 1.6.0を追加しました。1.6.0は1.5.3との
差分が大きいため当面は両方とも残しておきます。
ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source/
version 2.Xは、ちょっと中途半端な状態になっているため、
帰国後整理した上で追加します。
821 名前：login:Penguin mailto:sage [2008/04/16(水) 08:09:22 ID:/Z5CkmBk]: TOMOYOじゃなくてYaSELinuxとかにしたら一気に普及してたかもなｗ
822 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:16:16 ID:PeDWAeKt]: >>821
最初は失敗したと思いましたが、なんだかんだ名前が注目されたことにより、
ここまで（メインラインに挑戦できるまで）こられた部分があるように思います。
YaSELinuxだとその点、やや微妙かも。またSELinux陣営が許さないでしょうw
823 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:24:51 ID:PeDWAeKt]: 7回目の提案のスレッドで、こんな図を投稿しています。
ttp://article.gmane.org/gmane.linux.file-systems/22495

AppArmorやTOMOYO Linuxはnamespaceの世界で処理をしていて、
VFSやLSMではinodeの世界です。残念ながらnamespaceの世界は、
その中だけでは完結せず、二つの世界をブリッジするためにvfsmountの
パラメータを渡せるようにしたいというのがoption 1ですが、VFSの
Al Viloがくせ者でウンといいません。optoin 2はそれをせずにフックを
追加「させてもらう」で、4/4の投稿はそのどちらでもなく、LSMとは別の
仕組み（フックセット）を提案した形でいろいろ怒られました。
824 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:30:41 ID:PeDWAeKt]: メインライン化がなかなか進展しない理由のひとつは、メンテナ間の関係が
見えないことにあると思っています。特定のモジュールに閉じた話だと
簡単ですが、このように複数に関わり、かつ発言しないメンテナがいる状態だと
どう進めるかが難しく、あちらたてればこちらたたずというか常に誰かに
反対されます。皆自分のところに自分が必要と思わない変更をしたくないからです。

# 海外さんの発表はついにPOSIX Capabilitiesのページにきました。
825 名前：login:Penguin mailto:sage [2008/04/16(水) 08:43:46 ID:aGXleYF5]: >>818
確かにラウターですね(w
遠い昔、某橋のロゴの中の人がそんな感じの発音してますた。

ルータは設定変更する事でWAN側からLAN側に進入するのに使えますし、
24時間電源が入ってますから攻撃の踏み台としても旨いのでしょうねぇ。
IPアドレスも192.168.*.1辺りでほぼ固定ですし。(0,1,11,2辺りがメジャー)
さらにまずいことに設定の容易化の為に意図的に固定したDNS名とかを付けちゃったりするのでより厄介っすな。
例： NEC "web.setup" I-O "airport" NTT(oki) "ntt.setup"など

TOMOYOが有効なら最悪でもルータ自体に変な卵を植え付けられるのを防げるかな？
# 非正規ファームでシステム全体を乗っ取られた場合を除く

最近のネタだとFlashが接続先を限定しないのを悪用してUPnPを使ってポートを強制解放とかいうネタがありましたな。
UPｎPが信頼したネットワークからの通信のみを想定して認証を捨て、一方通行でもおｋにしたのが仇になったというかなんというか。
# オフトピばっかでごめんよー

>>824
大規模オプソの負の面なんでしょうかね？
GUI周りなんかでもそうですけど、横(プロダクト・モジュール間)の繋がりがよろしくないんですよね。
簡単な例だとカラーマネジメントとか未だにどうなっちょるねんって感じ。
826 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 08:57:02 ID:PeDWAeKt]: >>825
>TOMOYOが有効なら最悪でもルータ自体に変な卵を植え付けられるのを防げるかな？
鋭いですね。組み込みの場合は、外部不正アクセス全体を神経質にはじくと
いうよりは、特に重要な操作を保護する形が一般的だと思っています。
>大規模オプソの負の面なんでしょうかね？
このあたりは我々にはわからない微妙なメンテナの力関係があるようで、
StephenでもAl Viloに指図はできないようです。おそらくTOMOYO以外でも
複数のメンテナやシステム全体に関わる変更であれば同じようなことが
起きているはず。

Linusが一喝するという解は存在しますが、それを意図的に起こすことは
難しく、だとすると世論？で流れを作るのが現実的かと思っていて、
そのような誘導をしているわけです（深いでしょ？（笑））

/etc/shadowのような各論は、ちゃんと議論したらおそらく負けないのですが、
相手が不特定多数かつ根拠がなかったり感情的な発言をして逃げてしまう人などが
いますし、過去のスレッドを見ても結論がでずにもめて終わるケースが多いと
思っています。白黒つけるにはmlは向いていません。
827 名前：login:Penguin mailto:sage [2008/04/16(水) 09:20:29 ID:aGXleYF5]: >>826
まぁ、彼(Al Viro)の言い分としては俺より上の情報が欲しいならそっちで対応しろって感じかバグとかソース肥大化とかレスポンス低下とかが嫌って感じでしょうかね。
後>>823の絵に現状を追記して如何に歪か強調しておくとか(笑)
例えばこんな感じで ttp://www.imgup.org/iup593994.png.html
# 色々エラソーな事言ってましたがLinuxカーネル周りの理解度が足りてないので変な可能性あり。
828 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 09:27:26 ID:PeDWAeKt]: >>827
楽しい絵をありがとうございました（笑）。
ただ、このあたりの加減が難しくてやりすぎると逆効果になりますし、
ジョークや遊びもはずしてしまうと大変寒い思いをします（経験あり）。
LKMLの発言自体も一種の流儀があって、このごろやっとそれがわかってきました。

Alの場合は、熊猫先生によると「思想、考え方（好き嫌い？）」的な反対
されているようで、まもとな議論すらさせてもらえない状況です。
829 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 09:35:35 ID:PeDWAeKt]: 話は変わって、4/18に発売されるSoftware Designに「TOMOYO Linuxの歩き方（後編）」が
掲載されますが、結構画期的な記事になっています（笑）。
正直、「ちょっと書きすぎた」かもしれません。是非前編と併せてお読みください。
830 名前：デムパゆんゆん円高まんせ～ [2008/04/16(水) 09:41:23 ID:gcOHAMwF]: ＞selinuxに挫折したオレ
＞サルでもわかるTOMOYOってどこかにない？
ってＬＫＭＬに放火していいでつかそうですねだめでつね
なんかスレ伸びてるなぁと思ったら
イラクの自由作戦みたく波状攻撃でつか
別働隊はどこかで攻撃してるのでつね

＞白黒つけるにはmlは向いていません。
そこで、連日罵倒大会絶賛開催中の某巨大掲示板

メンテナの買収だなｗ　金がだめなら女だ
だた様の資金力を持って全力でＬＫＭＬ特攻
ｱﾙﾋﾞﾉの買収はだな　ＬＳＭが出来た頃どういう立場にあったとか
思想信条　背景調べて　うん
ちょっとＣＴＵ逝って来る
831 名前：login:Penguin mailto:sage [2008/04/16(水) 09:47:29 ID:aGXleYF5]: 今更ですけど、私はLSM周りの議論も追いかけ切れてないしTOMOYOのソースも把握してない一般＆初心者ユーザーよりの名無しさんなのでスルーしたほうがよい事もあります。
# TOMOYOの上層での概念(名前空間によるMAC)を理解して、こう動いてるだろうというのを妄想しているだけです。
## どうやらこの名無しさんはブラックボックステストのやりすぎで妄想屋さんになっちゃったようです。

あの絵を更にプレゼンぽくするならAppArmorやTOMOYOの箱をLSMの箱から飛び出させてnamespace空間辺りから矢印を引っ張る手もありますな。
後Before/AfterみたいにしてAlが対応してくれたらスッキリするんだよっという点を強調したりとか。
まぁ、Al Viro氏と直接関係するのはLSM全体のChris Wright氏のようなのでChris氏経由になるでしょうが。

ただ、>>828によると思想で好き嫌いっぽいし場の雰囲気も商談(?)とは違うっぽいのでなかなか厳しいですかね。
気分屋さんとお付き合いするのは私は苦手だなー

>>829
試しに前編読んで役立ちそうなら買ってみますー。まだ残ってるかなぁ？
なければ図書館で複写サービスのお世話になりますか。

とにもかくにも色々頑張ってください。
# 俺も頑張らなきゃー
832 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 10:39:12 ID:PeDWAeKt]: >>830
>なんかスレ伸びてるなぁと思ったら
本当は到着初日からレポートする予定でしたが、ホテルのネットワークから
だと規制されていて書き込みができなかったのです。
>そこで、連日罵倒大会絶賛開催中の某巨大掲示板
ここにいろいろ書いているのは、なんとなく書いたことが理解されているように
思うからです。日本語的にはいろいろ問題がありますが（笑）、言葉の
はしはしにそれを感じます。冗談抜きでこんな感じでLinuxの仕様について
議論できる場があれば良いと思いますよ。
833 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 10:45:35 ID:PeDWAeKt]: >>831
実はあの図は、上に書かれていることを暗黙のうちに主張しています。
メンテナの名前は本来不必要ですが、いれているのはChrisが何もして
くれないということを訴えていますし、整理された図を見ると
「なんだ、Alがvfsmount受けてやればいいんじゃん」と気づくはずです。

>試しに前編読んで役立ちそうなら買ってみますー。まだ残ってるかなぁ？
少なくともバックナンバーは買えます。(^-^;
前編の内容は各種情報源の紹介で、いわば観光名所の紹介です。この板を
見に来ている人なら半分くらいは既におなじみだと思います。
後編はただ場所ではなく目的ごとの「読み方」を扱っており、そのほか
デラックス付録として「名前の由来」について書いています。と言っても
別に最初から隠しておらずこれまでも機会あるごとに説明した内容ですが。
834 名前：デムパゆんゆん円高まんせ～ [2008/04/16(水) 11:09:01 ID:gcOHAMwF]: よくあるネタ
クリスは置き物で　ｱﾙﾋﾞﾉの後ろにラスボスが
じつわ神であった。　　二人はｱ"ｯｰな関係
スマックやselinuxの中の人はＬＳＭ
どう思ってるのかしらん
セキュア陣営で共同戦線!!!とか
われわれはぁ　断固抗議するアル
抵抗勢力はぶっつぶすとかｗｗ
selinux出てきたときも猛烈な反発あった気が駿河
で、出てきたのが上にもあるようにＬＳＭ通してそっちでやって栗と
835 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 11:36:23 ID:PeDWAeKt]: 「今」こちらの時間で4/14 19:32です。
"security BoF"が始まりましたが、日本人は中村さん、海外さんを
含めて6名、日本人以外は4名という構成です、
と書いていたらMontaVistaのHadiが入ってきて今挨拶をしました（実況中継みたい）。
836 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/16(水) 11:40:33 ID:PeDWAeKt]: TOMOYOプロジェクトは過去何回かJapan Technical Jamboreeに参加して
いますが、セキュアOSに関する知識や関心は国内はかなり高いと思います。
SELinuxでもSmackでも良いから、国内の組み込みで積極的に導入して、
海外のユーザをリードしていく、くらいだと良いのですが。
837 名前：デムパゆんゆん円高まんせ～ [2008/04/16(水) 18:44:39 ID:gcOHAMwF]: 今頃、ダメリカ特攻隊はサンノゼの空飛んでる夢見てるんでつね
リードするなら釣るネタいりまつ
selinuxにしても現状漠然としたイメージ　わかりやすい事例とか
目立でちょっとしゃちょ～つかまえてだな
協業相手見つけたから　プレス撃てと
selinuxでＯＯ社と協業することに　採用事例もうんぬん
組み込み　STBとかケータイとかかのぅ？
車業界も最近同業他社でモジュール共通化とか　今頃言い出したし
車はカーナビとか　ほとんどWANだ　防御にはいいかしらん？

itproで　linuxのセキュリティー界隈に変化が！　とか記事出して
日経linuxで来月号　緊急増刷　１０ページ追加
linuxのセキュリティーの今！
セキュア陣営を筆頭にlkml新たな動き！
今まで挫折を繰り返したあなた　selinuxがこんなにも簡単に導入！とか
煽って煽ってだな　メディア戦略おけ～ｗｗｗ
それでふぁ　再潜行　ﾌﾞｸﾌﾞｸﾌﾞｸﾌﾞｸ
838 名前：login:Penguin mailto:sage [2008/04/16(水) 23:59:21 ID:JHS2xGmI]: うぅむ…。日常やるコンパイルは監視させたくない(make なんかでドメインが
大増殖するから)けど、 firefox とか skype とかのネットにつながるものの動
きは監視しときたい。とすると、 initialize_domain を連発するしかないのか
なぁ…。
839 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/17(木) 03:27:42 ID:mbLpQzdf]: >>838
initialize_domainの効果は、複数の起動形態を持つものを同一の
ドメインとして扱う、および<kernel>直下のドメインになるということで、
アクセス制御の内容自体とは直接関係しません。
LiveCDでは<kernel>ドメインのみを学習モードのプロファイルとして
定義していますが（この板の上のほうを参照ください）、監視（制御）したい
ドメインを「陽に」制御するプロファイルで書いておくと、やりたいことが
実現できます。（この説明でぴんとこなければまた質問ください）
840 名前：login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/17(木) 03:33:10 ID:mbLpQzdf]: さきほどAndrew Mortonのキーノートが終わりました。
生Mortonを至近距離で見ました（笑）が、「なんでも俺に相談しろ
(Ask me!)」と強調されていました。お話しようと思ったのですが、
すぐにたくさんの人に囲まれて（ディズニーランドのミッキー状態）
まだアクセスできていません。がんばります（何を？）
841 名前：login:Penguin mailto:sage [2008/04/17(木) 14:57:07 ID:BWf/C86W]: やっぱり、 initialize_domain連発したくなるよなあ。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef