- 1 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/06/03(火) 23:07:21 ID:A7GEg7r5]
- 使いこなせて安全な強制アクセス制御(MAC)実装、TOMOYO Linuxのスレッドです。
TOMOYO Linux プロジェクト
ttp://tomoyo.sourceforge.jp/
TOMOYO Linux の世界
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux
TOMOYO QandA
ttp://tomoyo.sourceforge.jp/wiki/?QandA
はてなキーワード TOMOYO Linux
ttp://d.hatena.ne.jp/keyword/TOMOYO%20Linux
TOMOYO メインライン提案まとめ
ttp://elinux.org/TomoyoLinux#Mainline
過去スレ
TOMOYO Linux ttp://pc11.2ch.net/test/read.cgi/linux/1152257294/
まとめ ttp://tomoyo.sourceforge.jp/wiki/?TomoyoIta1
- 526 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/10/29(水) 19:44:30 ID:AmW+9Vlp]
- >>519
>この仕様は変わらないのでしょうか。
>AppArmorはrecursiveに設定できるようですが。
これは私の考えで実際とは違うかもしれませんが、そう思って読んでください。
ポリシーで再帰的な記述を許すということは、実行時にディレクトリ階層の評価を
行うということで、その評価はカーネルの処理として実行されます。
言ってみれば、ユーザの設定を簡便化する代償として、その分の作業を
カーネルに強制することになります。Linuxには「カーネルの処理を軽減し、
真にカーネルでなければできないことしかさせない」という考え方が存在しますから
そのようなことはおそらく許容されないように思います。
ひとつの方法としては、tomoyoのポリシーはテキスト形式ですから、
テキスト処理として階層を展開したポリシーを生成するようなツールを
作るようなことではどうでしょうか?
- 527 名前:login:Penguin ◆XkB4aFXBWg mailto:sage [2008/10/29(水) 19:46:56 ID:AmW+9Vlp]
- >>515
>tomoyo #11のほうは、その後特に意見、コメント等でておらず、今日
>関係者に宛ててこんなど真ん中ストレートメールを投げました。
一応報告しておきますが、まだ返事はきていません。
# どのような形の返信であれちゃっかり公開します。
- 528 名前:login:Penguin [2008/10/29(水) 20:16:04 ID:dS09MGt3]
- >>512
keep_domain でそれ以上ドメイン遷移を深くさせたくないのかと思いましたが、
>>516
どうやらドメインに対するアクセス許可の指定で /\* の繰返しを避けたいという
質問のようですね。
>>519
TOMOYO も AppArmor もホワイトリストです。ですから、「 /etc/\* だけ禁止」という
ブラックリストな指定はサポートしていません。
/etc/\* 以外を許可(つまり /bin/\* や /sbin/\* などだけ許可)したければ
/\*\-etc/\* という指定が可能です。これを再帰的にすると
/\*\-etc/\*
/\*\-etc/\*/\*
/\*\-etc/\*/\*/\*
/\*\-etc/\*/\*/\*/\*
のようになります。
path_group というものをサポートしているので、 exception_policy にて
path_group all_but_etc /\*\-etc/\*
path_group all_but_etc /\*\-etc/\*/\*
path_group all_but_etc /\*\-etc/\*/\*/\*
path_group all_but_etc /\*\-etc/\*/\*/\*/\*
のように定義しておけば、 domain_policy にて
@all_but_etc のように参照することが可能です。
|
 |
