TOMOYO

Fork

[Tomoyo-dev 881] Re: ポリシーファイルを分割して管理する方法について

Tetsuo Handa from-****@I-lov*****
2008年 8月 31日 (日) 20:36:30 JST

• 前の記事 [Tomoyo-dev 880] Re: ポリシーファイルを分割して管理する方法について
• 次の記事 [Tomoyo-dev 876] Re: apt レポジトリ
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

　熊猫です。

> grobすることを前提にすると拡張子.baseの方が便利そうですね。気になるのは
> 「それ拡張子でいいの？」ということです。
（ grob ？ glob ？　両方ある？）
cat /etc/ccs/conf.d/domain_*.base > /etc/ccs/domain_policy.base みたいに？

> > 上記のコメントに対応するために、 /etc/ccs/ ではなく /etc/ccs/profile.conf の
> > 有無で判断する方法も可能ですが、どうでしょう？
> 
> こちらの方が安全のような気がします。
> 
出来合いのポリシーを /etc/ccs/ 以下に conf.d/ のようなのを作って配置する場合、
出来合いのポリシーをインストールすることによって
（ init_policy.sh を実行しなくても）自動的に /etc/ccs/ が作成されてしまうため
現在の仕様だとシャットダウンできなくなる可能性が生じますので、
（出来合いのポリシーを /etc/ccs/ 以下に置くのであれば） /etc/ccs/ ではなく
/etc/ccs/profile.conf の有無でチェックすることが必須になりますね。

でも、 /etc/ccs/profile.conf は SELinux でいう /etc/sysconfig/selinux （つまり
/etc/selinux/config ）相当のファイルですから、このファイルが存在しない場合に
ユーザに確認することなく無効モードとして処理を継続してしまって良いのかどうか
という疑問はありますけれど。

• 前の記事 [Tomoyo-dev 880] Re: ポリシーファイルを分割して管理する方法について
• 次の記事 [Tomoyo-dev 876] Re: apt レポジトリ
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]