- 1 名前:login:Penguin [2006/07/07(金) 16:28:14 ID:+/HOu7cX]
- 向こうはスレッド名がよくないのとCCさくらヲタしか集まってこないのでフォークした。
重複ではないと思っている。
TOMOYO Linux プロジェクト
tomoyo.sourceforge.jp/ja/doc/index.html
- 843 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 00:46:23 ID:YFqemKaX]
- >>841
>>842
initialize_domain連発しても全然問題ないですよ。
「必要なところ(ドメイン)を見極めてしっかり守り、それ以外は
学習、あるいは無効モードで」というのが現実的な運用スタイルだと
思います。
- 844 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 01:32:28 ID:YFqemKaX]
- ttp://lwn.net/SubscriberLink/277833/20faea932562b2aa/
- 845 名前:login:Penguin mailto:sage [2008/04/18(金) 01:41:32 ID:PtogwsB7]
- おお、なかなか興味深い事態に。
- 846 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 01:51:07 ID:YFqemKaX]
- >>845
そう。その通り。
ttp://thread.gmane.org/gmane.linux.kernel.lsm/6042
ttp://d.hatena.ne.jp/himainu/20080417#1208420136
- 847 名前:LiveCDの中の人 mailto:sage [2008/04/18(金) 02:10:37 ID:YFqemKaX]
- >>841
>>842
1つの手段として、
keep_domain <kernel>
してしまってすべてのドメインをデフォルトでわけないようにしておき、
initialize_domain /usr/bin/firefox
initialize_domain /usr/bin/skype
でfirefoxとskypeだけを特別扱いする、という手段があります。
TOMOYOは「すべてのexecで自動的にドメインを分ける」のがデフォルトで、
ユーザが意識せずともアクセス制御の単位を細かく切り分けるのが特徴ですが、
逆にこれが鬱陶しい場合は上記のように思い切ってkeep_domainするのがおすすめです。
(いずれにせよ「分けるのがデフォルト」なので、initialize_domainの連発は必要ですが)
- 848 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 02:21:35 ID:YFqemKaX]
- 以前も書きましたが、「こんなことできないの?」と思いつくような
ことはだいたい実現されているのではないかと思います。
実現されていない場合は、内容を検討して、有用であれば実装されるかも
しれません。
疑問、質問、どんな内容でも良いですから気軽に書き込みください。
- 849 名前:login:Penguin mailto:sage [2008/04/18(金) 06:11:46 ID:cOa8NbkQ]
- ツバサクロニクル系というか魔法剣士系の採用はありますか?
- 850 名前:login:Penguin mailto:sage [2008/04/18(金) 06:12:25 ID:cOa8NbkQ]
- てかMOKONA Linuxはいただいた!
- 851 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/18(金) 07:26:18 ID:YFqemKaX]
- >>849
「採用はありますか」の意味が不明のため回答不能です。
>>850
てかさしあげようがありません。
>>848
>疑問、質問、どんな内容でも良いですから気軽に書き込みください。
「TOMOYO Linuxに関する疑問、質問」であれば「どんな内容でも」という
ことです。
- 852 名前:デムパゆんゆん [2008/04/18(金) 23:09:52 ID:VTKRkwhl]
- 回答不能でバッファオ〜バ〜フロ〜発生
ばぁぶぅ〜
- 853 名前:login:Penguin mailto:sage [2008/04/18(金) 23:10:32 ID:cOa8NbkQ]
- 神が気分を害されたw
- 854 名前:デムパゆんゆん [2008/04/19(土) 00:03:26 ID:ZON2E7Cb]
- 気分を害されたのでつね
神様申し訳有馬温泉
どうすれば? もぅいいクビだ
・・・・・。
職安逝って来る
さて、バッファオ〜バ〜フロ〜でつ
学習モ〜ドでふぁログをガリガリと書いていきまつ
禁欲モ〜ドでどうなるニダね
常用環境で試して どうなろうと僕はしりましぇん
こ〜ゆ〜のは業界でテストケ〜スと課言うんでつか
バッファオ〜バ〜フロ〜起こさせるようなプログラムないか
ちょっとCTU行ってくる
- 855 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:19:07 ID:J3xqYE8V]
- >>853
気分を害したわけではありません(それ以前に「神様」もないけど)。
基本的にここに書き込んでくれた人には返事をしたいと思っていますが、
「採用」がTOMOYOを使ってみたい、あるいは開発に参加したいの意味か
不明で返答ができなかったということです。
>>851
>「TOMOYO Linuxに関する疑問、質問」であれば「どんな内容でも」という
と書いた意図は、それ以外を書かれると、「返してあげたくても返して
あげられない(心苦しい)」ということです。
- 856 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:22:59 ID:J3xqYE8V]
- >>854
雇ってないので大丈夫です。
>学習モ〜ドでふぁログをガリガリと書いていきまつ
>禁欲モ〜ドでどうなるニダね
>常用環境で試して どうなろうと僕はしりましぇん
サーバはしにましぇん。クラックされてもしにましぇん。
もともと常用環境で使うのが本来なのでつ。禁欲モ〜ドでいくには、
ちゃんとぽりすぃ違反を監視して、対処できるようにしておかなければ
いけましぇん
- 857 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:30:33 ID:J3xqYE8V]
- >>854
>常用環境で試して どうなろうと僕はしりましぇん
ばかやろー
リスクを恐れていてセキュアOSが導入できるか!(ごるぁ)
━━━( ゚Д゚)凸━━━ !!
デムパ、逝ってよし!あとは俺たちに任せろ(俺たちって誰だ?)
- 858 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/19(土) 23:33:41 ID:J3xqYE8V]
- 自分で書いたものを自分で読んでびっくりかつ自己嫌悪だが、
しかし、本当にそういうことなのだよ。おまいならわかってくれると信じる。
>デムパ
- 859 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/20(日) 15:45:22 ID:s3pqM0To]
- ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-April/000429.html
LWN.netのJonathanの記事の日本語訳です。
- 860 名前:login:Penguin mailto:sage [2008/04/20(日) 21:53:04 ID:mkNbjbzD]
- ふむぅ…許可ログが溢れる。
何故許可ログが/var/log/tomoyo/reject_log.txtに書き込まれるのじゃろう。
MAX_GRANT_LOG=0にしても書き込まれる。
カーネル再構築の際にMAX_GRANT_LOGの標準値を0にしても書き込まれる。
Vine4.2、TOMOYOタンは1.6.0。
TOMOYOタンが1.5.xの頃は書き込み抑制できたのに…。
我が悪いのか我が悪いのか我が悪いのかorz
- 861 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/20(日) 21:59:21 ID:s3pqM0To]
- >>860
version 1.6では多数の機能追加だけでなく、LKML提案のための
コーディングスタイルの変更が行われており、もしかしたらそれが関係した
デグレードの可能性もあります。
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-dev/2008-April/000791.html
もし可能ならもう少し具体的な情報をお知らせください。
- 862 名前:デムパゆんゆん [2008/04/21(月) 00:37:12 ID:/9Akzjvg]
- >常用環境で試して どうなろうと僕はしりましぇん
あ、本番環境とかそういうつもりじゃないです。
普段、家で会社でいつも使うという意味の常用です。
網走刑務所のお勤め終わりました。 やっとプロバイダ全規制解除
- 863 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/21(月) 07:46:38 ID:6Gdqvlo3]
- >>862
デムパもどき??? (@ @;
- 864 名前:デムパゆんゆん mailto:sage [2008/04/21(月) 20:35:06 ID:HuS1sRX3]
- 10分でまた全規制になりました。
自分は網走でお勤めです。
SD今月号読みました。
神様芥川賞取れそうな文才全開
シーズン2もみたいアル。
もどきじゃねぇ本人だ。
ばぶぅ
- 865 名前:login:Penguin mailto:sage [2008/04/21(月) 21:10:53 ID:coMEImMD]
- boincで、wcgしてます。
initialize_domain /usr/bin/boinc_client
をexception_policy.conf
に入れて、
# ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
たたいても、boinc_clientからforkされる wcg_hpf2_rosetta_5.20_i686-pc-linux-gnu とかは
無視されるんですね。
- 866 名前:865 mailto:sage [2008/04/21(月) 22:24:43 ID:ys16n8Hu]
- 失礼、2だった。
- 867 名前:860 mailto:sage [2008/04/21(月) 22:28:37 ID:cnfwqPC3]
- >>861
ふむぅ…なんとお伝えしたらよいのやら(汗)
取り合えず書き環境どす。
ディス鳥:Vine4.2
コンパイル前uname -a:2.6.16-0vl76.33 #1 SMP Sun Apr 20 20:58:37 JST 2008 i686 i686 i386 GNU/Linux
コンパイル後uname -a:2.6.16-0vl76.33-ccs-1.6.0 #1 SMP Sun Apr 20 20:58:37 JST 2008 i686 i686 i386 GNU/Linux
#apt-get install kernel-source
#cd /usr/src/linux-2.6.16
#wget osdn.dl.sourceforge.jp/tomoyo/30297/ccs-patch-1.6.0-20080401.tar.gz
#tar zxvf ccs-patch-1.6.0-20080401.tar.gz
#patch -sp1 < /patches/ccs-patch-2.6.16-0vl76.33.diff
#cp /boot/config .config
#make oldconfig(→ここでMAX_GRANT_LOGの部分を0)
#make menuconfig(→ここでMAX_GRANT_LOGが0になっていることを確認)
#make -s
#make modules_install
#cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.16-0vl76.33-ccs-1.6.0
#cp System.map System.map-2.6.16-0vl76.33-ccs-1.6.0
#mkinitrd /boot/initrd-2.6.16-0vl76.33-ccs-1.6.0.img 2.6.16-0vl76.33-ccs-1.6.0
カーネル再構築はここまで(後は適度にgrubを修正)。
- 868 名前:860 mailto:sage [2008/04/21(月) 22:30:36 ID:cnfwqPC3]
- 全文記載弾かれたので分けました。
後はccs-toolsをダウンロードしてmake -C ccstools/ all install。
#init_policy.sh --file-only-profile
#echo "/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt" >> /etc/rc.d/rc.local
#mkdir -p /var/log/tomoyo
取り合えず行った作業は上記まで。
その後リブートしたのですが/var/log/tomoyo/reject_log.txtには許可ログがべっとり。
/etc/ccs/profile.confに「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。
loadpolicy -pは実行済み。
その後に再起動かけてもべっとり。
例)
#2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0
<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi
use_profile 0
取り合えず現状こんな感じです。
カーネル再構築自体は成功しています。
拒否モードにするときちんと動作を拒否してくれています。
- 869 名前:860 mailto:sage [2008/04/21(月) 22:47:56 ID:cnfwqPC3]
- ちなみにprofile.confは…
# cat profile.conf
0-COMMENT=-----Disabled Mode-----
0-MAC_FOR_FILE=disabled
0-TOMOYO_VERBOSE=disabled
0-MAX_GRANT_LOG=0
0-RESTRICT_MOUNT=enabled
0-DENY_CONCEAL_MOUNT=enabled
0-RESTRICT_CHROOT=enabled
1-COMMENT=-----Learning Mode-----
1-MAC_FOR_FILE=learning
1-TOMOYO_VERBOSE=disabled
1-MAX_GRANT_LOG=0
1-RESTRICT_MOUNT=enabled
1-DENY_CONCEAL_MOUNT=enabled
1-RESTRICT_CHROOT=enabled
2-COMMENT=-----Permissive Mode-----
2-MAC_FOR_FILE=permissive
2-TOMOYO_VERBOSE=enabled
2-MAX_GRANT_LOG=0
2-RESTRICT_MOUNT=enabled
2-DENY_CONCEAL_MOUNT=enabled
2-RESTRICT_CHROOT=enabled
3-COMMENT=-----Enforcing Mode-----
3-MAC_FOR_FILE=enforcing
3-TOMOYO_VERBOSE=enabled
3-MAX_GRANT_LOG=0
3-RESTRICT_MOUNT=enabled
3-DENY_CONCEAL_MOUNT=enabled
3-RESTRICT_CHROOT=enabled
- 870 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/21(月) 23:12:29 ID:6Gdqvlo3]
- >>865
># ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
# ccs-setprofile -r 2 '<kernel> /usr/bin/boinc_client' です。
参考
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-2
- 871 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/21(月) 23:19:22 ID:6Gdqvlo3]
- >>860
開発メンバーに報告しましたのでしばらくお待ちください。(_ _)
- 872 名前:デムパゆんゆん mailto:sage [2008/04/22(火) 00:14:46 ID:XsdpoNQq]
- 24しますた
- 873 名前:login:Penguin mailto:sage [2008/04/22(火) 00:35:51 ID:nBaXrVo3]
- >>870
> >>865
> ># ccs-setprofile 2 '<kernel> /usr/bin/boinc_client'
> # ccs-setprofile -r 2 '<kernel> /usr/bin/boinc_client' です。
>
> 参考
> ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-2
なるほど、失礼致しました。ありがとうございます。
- 874 名前:login:Penguin [2008/04/22(火) 06:32:31 ID:BZrfz1S8]
- >>868
>/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt
ccs-auditd に渡す2つのパス名の内、
1つめが許可ログ(ポリシーに存在しているアクセス要求のログ)の保存場所、
2つめが拒否ログ(ポリシーに存在していないアクセス要求のログ)の保存場所です。
ですので、拒否ログ( /var/log/tomoyo/reject_log.txt )を出力させたくない場合には
>「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。
ではなく、
「プロファイル番号-MAX_REJECT_LOG=0」を指定ください。
>#2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0
><kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi
>use_profile 0
これは正常なログです。 /bin/bash から /bin/vi が実行されたことにより、
<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi というドメインが
新規作成され、プロファイル番号として 0 が割り当てられたというログです。
1.6.0 では、学習モードを使わなくても拒否ログから学習モードと同等の結果を
得られるようにするために、ドメインが新規作成された時に上記のようなログを
拒否ログとして出力するようになりました。
- 875 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/22(火) 06:37:19 ID:WnxtELB+]
- >>874
>ドメインが新規作成された時に上記のようなログを
拒否ログとして出力するようになりました。
を抑制することはできないのですか?
- 876 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/04/22(火) 07:55:46 ID:WnxtELB+]
- >>875
1.6のポリシーリファレンスを見る限り現状は対応していないのかしらん
ttp://tomoyo.sourceforge.jp/ja/1.6.x/policy-reference.html
- 877 名前:login:Penguin mailto:sage [2008/04/22(火) 13:36:16 ID:DRUyJgxS]
- Macに対応してみても良いのでは。
- 878 名前:860 mailto:sage [2008/04/22(火) 21:25:08 ID:e/LuciY4]
- >>874
ありゃ…吐き出し方が変わっていたとですか。
学習ログと許可ログをゴッチャにしてたとです。
取り合えず現状この状態が「正常」ということで認識しておきますです。
個人的には>>875も言っておりますが…
学習吐き出し
許可吐き出し
拒否吐き出し
を単体、もしくは組み合わせて吐き出せるような仕様が欲しいのです。
- 879 名前:デムパゆんゆん [2008/04/23(水) 00:17:07 ID:iieJvJWr]
- 解除復活アル
ぐあしあぐあしあ
- 880 名前:デムパゆんゆん [2008/04/23(水) 00:22:38 ID:iieJvJWr]
- >>878
網走は寒かったでつ
ログ吐き出し なんか整形ツールあれば良いでつね
そうだ snmpでつないでhinemosで管理 弊社のトータルソルーションでありまつwww
ログがたまるの嫌ならcronとか回して
タ〜で固めるのだめニダか?(@@)
- 881 名前:login:Penguin mailto:sage [2008/04/23(水) 02:38:18 ID:AaDa6A91]
- >>880
ログが溜まるのはよかとですたい。
むしろ「お兄ちゃん見て見て!ログが少し大きくなったの」的な妄想ができますたい。
だがお兄ちゃん脳の記憶領域が残り3byteしか空き容量が無いので新しい仕様を覚えることに一苦労なのです。
欲望だけが沸き続けるのは人間の性。
- 882 名前:デムパゆんゆん [2008/04/23(水) 10:17:26 ID:iieJvJWr]
- >>881
お おにぃちゃん おなかがくるしいよぉ
なにがはいってるのぉ
DS大人の脳トレーニングで
脳内再起動
>>856
>雇ってないので大丈夫です。
送った履歴書がUターンしてきたようでつ ふへ
- 883 名前:login:Penguin mailto:sage [2008/04/27(日) 22:17:12 ID:lI0nWCFt]
- 質問です。
allow_unlink, allow_createが書かれているprofileで、
allow_renameをポリシーエディターで追加しようとしても、追加されません。
これって、相反するものなのでしょうか?
- 884 名前:LiveCDの中の人 mailto:sage [2008/04/27(日) 22:59:05 ID:3F2gMlCf]
- >>883
特に相反とかのチェックはしていませんね。
allow_renameのあとスペースを空けて、
2つのパス名が絶対パスで指定されているかをご確認くださいな。
もしダメならどんなエントリを追加しようとしているか、
ここに書いてもらうのが手っ取り早いかと。
- 885 名前:login:Penguin mailto:sage [2008/04/27(日) 23:26:16 ID:lI0nWCFt]
- >>884
> >>883
> 特に相反とかのチェックはしていませんね。
> allow_renameのあとスペースを空けて、
> 2つのパス名が絶対パスで指定されているかをご確認くださいな。
>
> もしダメならどんなエントリを追加しようとしているか、
> ここに書いてもらうのが手っ取り早いかと。
あ、二つパスを指定するんですかw
すみません。うまくいきました。
- 886 名前:login:Penguin mailto:sage [2008/04/27(日) 23:27:52 ID:lI0nWCFt]
- 話は違うんですが、
deny_read とか拒否ルールは書けたりは出来ないんでしょうか。。
- 887 名前:デムパゆんゆん [2008/04/28(月) 11:30:29 ID:hSxn4XiQ]
- >>886
ファイアウォールと一緒で
一個ずつ許可していくんだろ
- 888 名前:LiveCDの中の人 mailto:sage [2008/04/28(月) 23:50:31 ID:eFmipwMS]
- >>886
ポリシーはホワイトリストで、
「上から見ていってあればOK、最後まで見てもなければNG」
というシンプル設計。そのため、「拒否ルール」の記法はありません。ただし、
ttp://tomoyo.sourceforge.jp/ja/1.6.x/policy-reference.html#wildcard_expression_rules
の表の一番下の行、「\-」演算子を駆使すればそれらしきことはできます。
めんどいけどね。
- 889 名前:login:Penguin mailto:sage [2008/04/29(火) 11:33:17 ID:SvP2L5b/]
- >>888
AppArmorは管理ガイドを見る限り、Denyルールを持っているようですね。
TOMOYOはやる気ないのかな。。
- 890 名前:login:Penguin mailto:sage [2008/04/29(火) 14:07:10 ID:SvP2L5b/]
- \- ですか。ありがとうございます。
- 891 名前:login:Penguin mailto:sage [2008/04/29(火) 15:49:15 ID:SvP2L5b/]
- しかし、/home/*/Docsをfirefoxで見れなくするために、
以下のように書いたのですが、うまくいきません。
--(exception_policy.conf)---------------------------
initialize_domain /usr/lib/iceweasel/firefox-bin
# snipped..
path_group HOME-DIR /home/taku/\*\-Docs
path_group HOME-DIR /home/taku/\*\-Docs/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*/\*
path_group HOME-DIR /home/taku/\*\-Docs/\*/\*/\*/\*
----------------------------------------------------
--(domain_policy.conf)------------------------------
<kernel> /usr/lib/iceweasel/firefox-bin
use_profile 3
# snipped
6 HOME-DIR
----------------------------------------------------
- 892 名前:login:Penguin mailto:sage [2008/04/29(火) 15:51:18 ID:SvP2L5b/]
- すみません。
(誤) 6 HOME-DIR
(正) allow_read/write @HOME-DIR
- 893 名前:デムパゆんゆん [2008/04/29(火) 17:35:58 ID:cnJ/AbCs]
- そりゃうまくいかんだろ
exception_policy.confから
そのパスグループ削除汁
で、合ってたような気が駿河
- 894 名前:login:Penguin mailto:sage [2008/04/29(火) 19:26:08 ID:SvP2L5b/]
- えーと、
~/Docsだけをfirefoxからアクセスさせたくないんですが、
その場合のパスグループはどう書けばいいんでしょうか。
- 895 名前:login:Penguin [2008/04/29(火) 20:35:14 ID:7I0kaDbH]
- >~/Docsだけをfirefoxからアクセスさせたくないんですが、
普通は ~/.ssh とかにアクセスさせたくないという理由で
例えば ~/firefox-data 以下の読み書きだけを許可するといった
指定をすると思うのですが・・・。
>その場合のパスグループはどう書けばいいんでしょうか。
path_group の書き方は 891 で合っていると思います。
>use_profile 3
grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して
enforcing と表示されることを確認してください。
exception_policy.conf を編集後には loadpolicy e を、
domain_policy.conf を編集後には loadpolicy d を
実行していますよね?(しないと反映されません。)
あと確認するとしたら、本当に firefox が
<kernel> /usr/lib/iceweasel/firefox-bin
ドメインに属しているかどうかですね。
firefox に学習モード( use_profile 1 )を指定して
firefox から ~/Docs 以下のファイルにアクセスしてみてください。
もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin
ドメインで動作しているのであれば、そのドメインに
firefox からアクセスしたファイルのパス名が追加されているはずです。
- 896 名前:login:Penguin mailto:sage [2008/04/29(火) 23:10:08 ID:SvP2L5b/]
- お世話になります。
>>895
> 普通は ~/.ssh とかにアクセスさせたくないという理由で
> 例えば ~/firefox-data 以下の読み書きだけを許可するといった
> 指定をすると思うのですが・・・。
おっしゃる通りです。orz
> grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して
> enforcing と表示されることを確認してください。
はい、enfocingと表示されています。
> exception_policy.conf を編集後には loadpolicy e を、
> domain_policy.conf を編集後には loadpolicy d を
> 実行していますよね?(しないと反映されません。)
ccs-editpolicyで編集しているので、即反映だと思われます。
> あと確認するとしたら、本当に firefox が
> <kernel> /usr/lib/iceweasel/firefox-bin
> ドメインに属しているかどうかですね。
> firefox に学習モード( use_profile 1 )を指定して
> firefox から ~/Docs 以下のファイルにアクセスしてみてください。
> もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin
> ドメインで動作しているのであれば、そのドメインに
> firefox からアクセスしたファイルのパス名が追加されているはずです。
はい、確かに学習モードだと /home/taku/Docs/hoge とかがエントリーされます。
- 897 名前:891 mailto:sage [2008/04/30(水) 01:14:35 ID:ylW0WDVj]
- >>896
ちなみに、Debian lenny & TOMOYO 1.6.0です。
- 898 名前:LiveCDの中の人 mailto:sage [2008/05/01(木) 00:18:18 ID:SPZt1ZlM]
- >>896
お聞きする限り正しいようですね。
1点気になる点があるので、「Firefoxからアクセスできてしまう」
というのがどういう状況か詳しく教えてもらえませんか?
TOMOYOの「ディレクトリの読み込み権限はチェックしてない」
という仕様から、
891さんが想定されている動作と異なっているかも知れません。
たとえば、Firefoxに
/home/taku/Docs/hoge
への読み込みアクセスを与えていなくても、Firefoxから
file:///home/taku/Docs/
にアクセスすると、ディレクトリインデックスが表示されて、
hogeというファイルがあることまではわかります
(Docsというディレクトリの読み込みはチェックされないので)。
ディレクトリインデックスでhogeへのリンクをクリックすると
403 Forbiddenになるわけです。
- 899 名前:896 mailto:sage [2008/05/01(木) 23:31:43 ID:ul/uALMw]
- >>898
ご回答ありがとうございます。
確かに、dir listingは見れても、ファイル(例えば*.jpg等)は引っ掛かって見ることが
出来ませんでした。ありがとうございます。
- 900 名前:login:Penguin mailto:sage [2008/05/08(木) 23:17:21 ID:aArXWV97]
- lkml.orgおかしくないかい?つう話は
数日前にも見た気がします。
- 901 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/10(土) 07:56:47 ID:378OV0Qj]
- SDさんの連載、「TOMOYO Linuxの世界」のWiki化について、tomoyo-devの
クスノさんが残っていた分も転載くださいました。感謝・・・。
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux
- 902 名前: [―{}@{}@{}-] login:Penguin mailto:sage [2008/05/10(土) 09:44:51 ID:0BQy8+KX]
- fedora8使ってるんだけど、TOMOYO用のカーネル入れたら、
yum updateとかでカーネルのアップデートができなくならない?
- 903 名前:login:Penguin [2008/05/10(土) 11:12:40 ID:YtCqEUQp]
- >>902
kernel-2.6.24.5-85_tomoyo_1.6.0.fc8 の方が
kernel-2.6.24.5-85.fc8 よりも新しいバージョンと判断されてしまって、
ディストリビュータのカーネルはインストールされなくなるかもしれません。
ですが、ディストリビュータのカーネルがアップデートされれば
kernel-2.6.24.5-85_tomoyo_1.6.0.fc8 の方が古いバージョンと判断されて
ディストリビュータのカーネルの方がインストールされると思います。
- 904 名前:login:Penguin mailto:sage [2008/05/13(火) 12:10:45 ID:xL7S38Yx]
- VMwareのCentOS5にインストールしてみたけど、
vmware-config-tools.plで/usr/src/linux/includeが指定されてしまうよ。
前は勝手に/lib/modules/2.6.18-53.1.19.el5/build/includeやら
/usr/src/kernels/2.6.18-53.1.19.el5-i686が指定されてたのに。
どうすりゃいいんだろう。
- 905 名前:login:Penguin [2008/05/15(木) 21:54:28 ID:kwv10gej]
- >> 904
/usr/src/linux/include が指定されてしまうのは
/lib/modules/`uname -r`/build が存在しないか
デッドリンクになっているからでしょう。
インストールしたのは 2.6.18-53.1.19.el5 ?
それとも 2.6.18-53.1.19.el5_tomoyo_1.6.1 ?
前者なら yum install kernel-devel を実行すれば
/lib/modules/2.6.18-53.1.19.el5/build が
/usr/src/kernels/2.6.18-53.1.19.el5-i686 等を
指すようになるでしょう。後者なら
kernel-devel-2.6.18-53.1.19.el5_tomoyo_1.6.1.i686.rpm
をダウンロードしてインストールしてください。
- 906 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/16(金) 09:22:36 ID:mX7VQmYj]
- 自宅で使用しているPCのディスクが壊れてしまい、しばらくご無沙汰していました。
>>716
5/31から「チョコレートの国の侍」というタイトルで、ThinkITさんで
連載いただくことになりました。
- 907 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/16(金) 09:26:16 ID:mX7VQmYj]
- 昨夜、TOMOYOのlxrを更新しますた。
ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source
(最新は1.6.1ですが、その前の1.5.4も当面残しておきます)
- 908 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/05/16(金) 09:29:15 ID:mX7VQmYj]
- 5/10にTLUGで、TOMOYOの紹介をしてきましたが、(このあたりのイベント
予定などの情報ははてなのページで確認ください)、Gentooのパッケージに
追加を提案いただけることになりました。TLUGは、外国人の方がほとんど
ですが、とても良い雰囲気です。
- 909 名前:login:Penguin [2008/05/21(水) 18:12:59 ID:WY0F4fBX]
- ここを会議室にしてみたらと提案して以来盛況になっているこの現実
このスレはWikiにも保存されますか?
- 910 名前:login:Penguin [2008/05/21(水) 20:57:22 ID:WY0F4fBX]
- メイプルシロップ事件やら鞄事件やらはTOMOYOとは関係なしに
別立てでおもしろおかしく書いてほしいw
- 911 名前:デムパゆんゆん [2008/05/22(木) 12:51:07 ID:wP9dv8BL]
- おはようございまつ
eclipseにぶちこむプラグイン tomoyo-gui
solaris版のeclipseにぶちこんだが微妙にエラーがでる
srcからエアロバキバキしたい
jp.sourceforge.tomoyo.GUI_1.0.1.v20070713-1200.src.zipに
build.xmlとかない プロジェクトとしてインポートしたいアル。キボンヌ
それとも自動生成アルか?
好了!
- 912 名前:デムパゆんゆん [2008/05/24(土) 01:03:54 ID:N3YMe7n2]
- lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-May/000437.html
痴話喧嘩ktkr なんだよwwww
ステファン:と と ともよタン! どうしてコード変えたの? ウリの事嫌いニダか! 謝罪と賠償(ry
ともよタン:ん そ そんなつもりぢゃ ないでつ。 あ。。。
S:なんで なんでなの ともよタンのバカ! サンノゼであんなに愛し合ったのに! アレはなんだったの!
T:あぅあぅ
S:もぅ嫌い!
T:ぐあしあぐあしあ (@_@)
こうですね わかります。
つかLKML詠んでないけど なんで変えたんだよw
ステファン先生ご立腹。
ステファンの愛 木お見て森進一
MMパッチ神のお告げで御開帳
ブルハーみたいに
君ちょっと逝ってくれないか 君ちょっとすてごまになってくれないか
いざこざにまきこまれて 泣いてくれないか
LSMも似たようなもんだ ハァハァするには十二分
|
 |
