Hiroshi Shinji
hiros****@gmail*****
2009年 8月 26日 (水) 23:30:28 JST
TOMOYO
Fork宍道です。
> 設定例を示します。
>
> # cat /proc/ccs/profile
> 0-COMMENT=-----Disabled Mode-----
> 0-CONFIG={ mode=disabled grant_log=yes reject_log=yes }
> 0-PREFERENCE::audit={ max_grant_log=1024 max_reject_log=1024 }
> 0-PREFERENCE::learning={ verbose=no max_entry=2048 exec.realpath=yes exec.argv0=yes }
> 0-PREFERENCE::permissive={ verbose=yes }
> 0-PREFERENCE::enforcing={ verbose=yes penalty=0 }
> 1-COMMENT=-----Learning Mode-----
> 1-CONFIG={ mode=disabled grant_log=yes reject_log=yes }
"mode=learning" ですよね?(コピペで修正し損ね? 以下も)
> 1-PREFERENCE::audit={ max_grant_log=1024 max_reject_log=1024 }
> 1-PREFERENCE::learning={ verbose=no max_entry=2048 exec.realpath=yes exec.argv0=yes }
> 1-PREFERENCE::permissive={ verbose=yes }
> 1-PREFERENCE::enforcing={ verbose=yes penalty=0 }
> 2-COMMENT=-----Permissive Mode-----
> 2-CONFIG={ mode=disabled grant_log=yes reject_log=yes }
> 2-PREFERENCE::audit={ max_grant_log=1024 max_reject_log=1024 }
> 2-PREFERENCE::learning={ verbose=no max_entry=2048 exec.realpath=yes exec.argv0=yes }
> 2-PREFERENCE::permissive={ verbose=yes }
> 2-PREFERENCE::enforcing={ verbose=yes penalty=0 }
> 3-COMMENT=-----Enforcing Mode-----
> 3-CONFIG={ mode=disabled grant_log=yes reject_log=yes }
> 3-PREFERENCE::audit={ max_grant_log=1024 max_reject_log=1024 }
> 3-PREFERENCE::learning={ verbose=no max_entry=2048 exec.realpath=yes exec.argv0=yes }
> 3-PREFERENCE::permissive={ verbose=yes }
> 3-PREFERENCE::enforcing={ verbose=yes penalty=0 }
この中で例えばプロファイル番号1の Learning Mode で、
permissiveやenforcingの設定をしているのはなぜでしょう?
それとPREFERENCEの記述が、上記の例ではすべて同じなんですが、
その場合、どっかにまとめて書けないでしょうかねぇ。
例えば、先頭に
X-PREFERENCE::learning={ verbose=no max_entry=2048 exec.realpath=yes
exec.argv0=yes }
X-PREFERENCE::permissive={ verbose=yes }
X-PREFERENCE::enforcing={ verbose=yes penalty=0 }
として、これを基本設定にするとか。
2009/08/26 22:42 に Tetsuo Handa<from-****@i-lov*****> さんは書きました:
> 熊猫です。
>
> # tomoyo-users-en 89 を見て、 tomoyo-dev 1164 の続きを書くのを忘れてた。(笑)
>
> Hiroshi Shinji さんは書きました:
>> ところで、プロファイルがまた変更されているのを
>> sourceforge 上で init_policy.c を見て確認しました。
>> この中で、各モードでそれぞれ
>> PREFERENCE::enforcing
>> PREFERENCE::learning
>> PREFERENCE::permissive
>> が設定されているのは何を意味しているでしょう?
>
> アクセス制御以外の項目も見直しを行った結果です。
> プロファイルは
>
> 番号-COMMENT=このプロファイルについてのコメント
> 番号-PREFERENCE::audit={ アクセスログに関する設定 }
> 番号-PREFERENCE::enforcing={ 強制モードに関する設定 }
> 番号-PREFERENCE::learning={ 学習モードに関する設定 }
> 番号-PREFERENCE::permissive={ 確認モードに関する設定 }
> 番号-CONFIG={ 制御モードおよびアクセスログの指定 }
>
> という(デフォルトで)6行で表現できる形になりました。
> CONFIG はアクセス制御の指定、 PREFERENCE はアクセス制御以外の指定です。
>
> 「制御モードおよびアクセスログの指定」の中は
>
> mode= disabled または learning または permissive または enforcing
> grant_log= yes または no
> reject_log= yes または no
>
> です。
>
> 設定例を示します。
>
> # cat /proc/ccs/profile
> 0-COMMENT=-----Disabled Mode-----
> 0-CONFIG={ mode=disabled grant_log=yes reject_log=yes }
> 0-PREFERENCE::audit={ max_grant_log=1024 max_reject_log=1024 }
> 0-PREFERENCE::learning={ verbose=no max_entry=2048 exec.realpath=yes exec.argv0=yes }
> 0-PREFERENCE::permissive={ verbose=yes }
> 0-PREFERENCE::enforcing={ verbose=yes penalty=0 }
> 1-COMMENT=-----Learning Mode-----
> 1-CONFIG={ mode=disabled grant_log=yes reject_log=yes }
> 1-PREFERENCE::audit={ max_grant_log=1024 max_reject_log=1024 }
> 1-PREFERENCE::learning={ verbose=no max_entry=2048 exec.realpath=yes exec.argv0=yes }
> 1-PREFERENCE::permissive={ verbose=yes }
> 1-PREFERENCE::enforcing={ verbose=yes penalty=0 }
> 2-COMMENT=-----Permissive Mode-----
> 2-CONFIG={ mode=disabled grant_log=yes reject_log=yes }
> 2-PREFERENCE::audit={ max_grant_log=1024 max_reject_log=1024 }
> 2-PREFERENCE::learning={ verbose=no max_entry=2048 exec.realpath=yes exec.argv0=yes }
> 2-PREFERENCE::permissive={ verbose=yes }
> 2-PREFERENCE::enforcing={ verbose=yes penalty=0 }
> 3-COMMENT=-----Enforcing Mode-----
> 3-CONFIG={ mode=disabled grant_log=yes reject_log=yes }
> 3-PREFERENCE::audit={ max_grant_log=1024 max_reject_log=1024 }
> 3-PREFERENCE::learning={ verbose=no max_entry=2048 exec.realpath=yes exec.argv0=yes }
> 3-PREFERENCE::permissive={ verbose=yes }
> 3-PREFERENCE::enforcing={ verbose=yes penalty=0 }
>
>
> MAX_GRANT_LOG および MAX_REJECT_LOG は「アクセスログに関する設定」の中の
>
> max_grant_log= 1024 (または 0 以上の任意の整数)
> max_reject_log= 1024 (または 0 以上の任意の整数)
>
> に置き換えられました。
>
> MAX_ACCEPT_ENTRY および AUTOLEARN_EXEC_REALPATH および AUTOLEARN_EXEC_ARGV0 は
> 「学習モードに関する設定」の中の
>
> max_entry= 1024 (または 0 以上の任意の整数)
> exec.realpath= yes または no
> exec.argv0= yes または no
>
> に置き換えられました。
>
> SLEEP_PERIOD は「強制モードに関する設定」の中の
>
> penalty= 0 (または任意の自然数)
>
> に置き換えられました。
>
> PRINT_VIOLATION は「学習モードに関する設定」「確認モードに関する設定」
> 「強制モードに関する設定」の中の
>
> verbose= yes または no
>
> に置き換えられました。(プロファイル単位で verbose かどうかではなく、
> プロファイル/モード単位で verbose かどうか指定できるようにしました。)
>
> なお、
>
> 番号-CONFIG={ 制御モードおよびアクセスログの指定 }
>
> については
>
> 番号-CONFIG::file={ ファイルアクセスに関する制御モードおよびアクセスログの指定 }
>
> や
>
> 番号-CONFIG::file::execute={ プログラム実行に関する制御モードおよびアクセスログの指定 }
>
> のような形でグローバル設定をオーバーライドできます。
> (オーバーライドした場合、その分行数が増えます。)
>
> _______________________________________________
> tomoyo-dev mailing list
> tomoy****@lists*****
> http://lists.sourceforge.jp/mailman/listinfo/tomoyo-dev
>
--
宍道 洋
hiros****@gmail*****
http://d.hatena.ne.jp/hshinji/