TOMOYO Linux ..
[
2ch
|
▼Menu
]
■コピペモード
□
スレを通常表示
□
オプションモード
□このスレッドのURL
■項目テキスト
706:login:Penguin 08/02/23 10:50:55 +5LIG1Ds >>705 > 極論を言うと/homeがシンボリックリンクなどで改ざんされいないという性善説が大前提になるだ。 セキュリティ強化OSは性悪説が前提です。(カードキャプターさくらの世界に悪人はいません。) まず、シンボリックリンクに関しては、シンボリックリンクを解決した後のパス名でチェックしますので シンボリックリンクの影響は受けません。また、名前の変更に関しては「変更前/変更後」をセットにして、 ハードリンクの作成に関しては「リンク元/リンク先」をセットにしてチェックしますので、 「 mv /etc/shadow /tmp/shadow 」とか「 ln /etc/shadow /tmp/shadow 」のような操作を禁止できます。 よって、ファイルに関する強制アクセス制御が有効である限り、パス名を改ざんするのは容易ではありません。 > プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ カーネルが大きくなってしまうことを心配してるのでしょうか?そうだとしたら > /etc/ccs/exception_policy.conf以下に > iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で > 書くのいかがでせうか exception_policy.conf に書いても domain_policy.conf に書いても コードサイズの増加分は変わらないです。 domain_policy.conf に書く理由は、どのようなパラメータを許可すべきかは ドメイン毎に異なるからです。 if 以降の条件は学習モードでは追加されませんので、 デフォルトでは 1.5.x と同様です。 /var/log/tomoyo/reject_log.txt の中から allow_execute を見つけ出し、 if 以降の条件を追加したい場合だけ 手作業で追加してもらうことになります。
次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
レスジャンプ
mixiチェック!
Twitterに投稿
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch
5387日前に更新/339 KB
担当:undef