Tetsuo Handa
from-****@i-lov*****
2009年 7月 24日 (金) 14:06:44 JST
熊猫です。 現在動作テスト中です。 revision 2800 時点でのファイル配置は以下のようになっています。 # ls -l /sbin/tomoyo-init -rwx------ 1 root root 20865 Jul 24 12:32 /sbin/tomoyo-init # ls -l /usr/sbin/tomoyo-* -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-checkpolicy -rwxr-xr-x 1 root root 482 Jul 24 09:42 /usr/sbin/tomoyo-domainmatch -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-editpolicy -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-findtemp -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-ld-watch -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-loadpolicy -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-pathmatch -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-patternize -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-pstree -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-savepolicy -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-setlevel -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-setprofile -rwxr-xr-x 12 root root 97036 Jul 24 13:26 /usr/sbin/tomoyo-sortpolicy # ls -l /usr/lib/tomoyo/* -rw-r--r-- 1 root root 17987 Jul 23 13:00 /usr/lib/tomoyo/COPYING.tomoyo -rw-r--r-- 1 root root 224 Jul 24 10:16 /usr/lib/tomoyo/README.tomoyo -rwxr-xr-x 1 root root 15089 Jul 24 12:32 /usr/lib/tomoyo/candy -rwxr-xr-x 1 root root 13152 Jul 24 12:32 /usr/lib/tomoyo/chaplet -rwxr-xr-x 1 root root 13091 Jul 24 12:32 /usr/lib/tomoyo/checktoken -rwxr-xr-x 1 root root 16068 Jul 24 12:32 /usr/lib/tomoyo/falsh -rwxr-xr-x 1 root root 11811 Jul 24 12:32 /usr/lib/tomoyo/gettoken -rwxr-xr-x 1 root root 12703 Jul 24 12:32 /usr/lib/tomoyo/groovy -rwxr-xr-x 1 root root 13317 Jul 24 12:32 /usr/lib/tomoyo/honey -rwxr-xr-x 1 root root 17970 Jul 24 12:32 /usr/lib/tomoyo/mailauth -rwxr-xr-x 1 root root 22100 Jul 24 12:32 /usr/lib/tomoyo/timeauth -rwxr-xr-x 1 root root 18528 Jul 24 12:32 /usr/lib/tomoyo/tomoyo-editpolicy-agent -rwxr-xr-x 1 root root 47559 Jul 24 13:26 /usr/lib/tomoyo/tomoyo_init_policy lrwxrwxrwx 1 root root 18 Jul 24 13:20 /usr/lib/tomoyo/tomoyo_init_policy.sh -> tomoyo_init_policy -rw-r--r-- 1 root root 3005 Jul 23 13:00 /usr/lib/tomoyo/tomoyotools.conf tomoyo:~# # ls -l /usr/share/man/man8/tomoyo* -rw-r--r-- 1 root root 545 Jul 24 10:37 /usr/share/man/man8/tomoyo-checkpolicy.8.gz -rw-r--r-- 1 root root 503 Jul 24 10:37 /usr/share/man/man8/tomoyo-domainmatch.8.gz -rw-r--r-- 1 root root 792 Jul 24 10:37 /usr/share/man/man8/tomoyo-editpolicy-agent.8.gz -rw-r--r-- 1 root root 1022 Jul 24 10:37 /usr/share/man/man8/tomoyo-editpolicy.8.gz -rw-r--r-- 1 root root 692 Jul 24 10:37 /usr/share/man/man8/tomoyo-findtemp.8.gz -rw-r--r-- 1 root root 708 Jul 24 10:37 /usr/share/man/man8/tomoyo-init.8.gz -rw-r--r-- 1 root root 699 Jul 24 10:37 /usr/share/man/man8/tomoyo-ld-watch.8.gz -rw-r--r-- 1 root root 1157 Jul 24 12:33 /usr/share/man/man8/tomoyo-loadpolicy.8.gz -rw-r--r-- 1 root root 585 Jul 24 10:37 /usr/share/man/man8/tomoyo-pathmatch.8.gz -rw-r--r-- 1 root root 668 Jul 24 10:37 /usr/share/man/man8/tomoyo-patternize.8.gz -rw-r--r-- 1 root root 603 Jul 24 10:37 /usr/share/man/man8/tomoyo-pstree.8.gz -rw-r--r-- 1 root root 938 Jul 24 10:37 /usr/share/man/man8/tomoyo-savepolicy.8.gz -rw-r--r-- 1 root root 642 Jul 24 10:37 /usr/share/man/man8/tomoyo-setlevel.8.gz -rw-r--r-- 1 root root 800 Jul 24 10:37 /usr/share/man/man8/tomoyo-setprofile.8.gz -rw-r--r-- 1 root root 612 Jul 24 10:37 /usr/share/man/man8/tomoyo-sortpolicy.8.gz -rw-r--r-- 1 root root 619 Jul 24 10:39 /usr/share/man/man8/tomoyo_init_policy.8.gz tomoyo:~# cat /etc/tomoyo/manager.conf /usr/sbin/tomoyo-loadpolicy /usr/sbin/tomoyo-editpolicy /usr/sbin/tomoyo-setlevel /usr/sbin/tomoyo-setprofile /usr/sbin/tomoyo-ld-watch いくつか決めなければいけないことがあります。 (1)スクリプトで実装していた tomoyo_init_policy.sh はCプログラムの tomoyo_init_policy.c に置き換えられたため、 tomoyo_init_policy.sh は tomoyo_init_policy へのシンボリックリンクになりました。 ドキュメントでは ccs-tools パッケージの tomoyo_init_policy.sh を 実行するようになっていますが、 tomoyo-tools パッケージに置き換わった後も tomoyo_init_policy.sh を残しておきますか?それとも tomoyo_init_policy だけで良いですか? tomoyo_init_policy は( tomoyo_init_policy.sh と入力するつもりで tomoyo_init_policy までで Enter を押してしまうというミスを避けるために) init_policy という名前にしておいた方が良いですか? (2)スクリプトで実装していた tomoyo-init はCプログラムの tomoyo-init.c に 置き換えられました。 現在 http://bugs.gentoo.org/show_bug.cgi?id=278513 にて tomoyo-init が /sys/ と /sys/kernel/security/ をアンマウントしないために起動スクリプトが 失敗するという状況が発生しています。しかし、 tomoyo-editpolicy などは /sys/kernel/security/ がマウントされていないと動作できません。 tomoyo-init で /sys/ と /sys/kernel/security/ をアンマウントさせますか? アンマウントさせる場合、 /sys/kernel/security/ のマウントはどのように 行わせますか? (3)ログイン認証の強化のためのプログラムの内、 1.x でしか意味を成さないものを 削除しました。 残っている candy chaplet checktoken falsh gettoken groovy honey mailauth timeauth は 2.x でも利用できますが、残しますか?それとも削除しますか? ( falsh を削除すると readline ライブラリへの依存を無くせます。) (4) /usr/lib/ がシンボリックリンクな環境への対処はどうしましょう? (5)tomoyo-setlevel は echo | tomoyo-loadpolicy -p で代用できるのですが、 残しますか?それとも削除しますか? (6)tomoyo-checkpolicy は誰も使っていないと思いますが、残しますか?それとも 削除しますか?
TOMOYO
Fork