Toshiharu Harada
harad****@nttda*****
2011年 5月 31日 (火) 13:57:43 JST
(2011/05/28 22:51), Toshiharu Harada wrote: > ポリシーの名前空間、Fedora 15で試してみました。 > > 今は、例外ポリシーから/bin/bashが実行されると常に > </bin/bash>の名前空間に飛ばす、という設定だけですが、 > とても不思議というか面白いと思います。 > > 設定をしてみて思ったのは、例外ポリシーについて、 > file read /etc/ld.so.cache > などについて、名前空間に限らずグルーバルな定義が書けると > うれしいと思いました。使ってみて、また感想があれば書きます。 今日、半田さんに使い方を教えてもらって勘違いしていたことが あったのに気がつきました。 ・namespaceを利用するために/etc/exception_policy.confの変更は必ずしも 必要ではありません。 namespaceを利用するためには、profile.confで新しいnamespace用の 設定は必須であり、namespaceを用いることにより独立した 例外ポリシーを持つことが可能となりますが、必ずしも 定義したnamespaceで例外ポリシーを持つ必要はありません。 (namespace以前のTOMOYOで例外ポリシーを空でも使えるのと同じです) ・namespaceの名前は、/bin/bashのようなパス名以外も使えます。 例外ポリシーの中で、/bin/bashが実行されたら自動的に に遷移する、という使い方の場合には、namespace名は</bin/bash> のようになりますが、<kernel>のnamespaceのあるドメインで、 /bin/bashが実行されたら遷移する、というような場合には、 file execute /bin/bash exec.realpath="/bin/bash" exec.argv[0]="-bash" auto_namespace_transition="<harada>" のように書くと、<harada>というnamespaceに遷移します(そのためには、 <harada>を定義しておかないといけません)。 いろいろな使い方ができそうなnamespaceですが、とりあえずは、 従来initialize_domainで飛ばしていたプログラムをnamespaceに 割り当てることが考えられます。namespaceを用いると、 <kernel>ドメインに独立にprofileとdomain, exceptionを定義できるので、 定義した部分はモジュールのように扱うことができます。 > 関係ありませんが、Fedora 15, 起動が速いですね。 > > 2011年5月26日22:35 Tetsuo Handa<from-****@i-lov*****>: >> >>> 現在 tomoyo-dev-en ML にて、ポリシーの名前空間対応について議論が進行中です。 >> >> TOMOYO 1.8 のポリシー名前空間のサポート(というか、ドメイン名の拡張と呼ぶのが >> 正確かも?)について、仕様と実装がほぼ固まりました。使い方は >> http://sourceforge.jp/projects/tomoyo/lists/archive/dev-en/2011-May/000237.html >> に、仕様は >> http://sourceforge.jp/projects/tomoyo/lists/archive/dev-en/2011-May/000235.html >> にあります。 >> >> ポリシー名前空間のサポートにより、 move_namespace と keep_domain を組み合わせて >> SELinux のようにフラットなドメイン配置をすることも可能になっただけでなく、 >> AppArmor のようにアプリケーション単位のポリシーの作成を行いやすくなりました。 >> SVN レポジトリに置かれているもので試せます。 >> >> −−−−−−−−−−−−−−−−−−−− >> >> Fedora 15 がリリースされたので、対応する ccs-kernel パッケージおよび >> ccs-tools パッケージを作成し、 yum 用レポジトリも作成しました。 -- 原田季栄 (Toshiharu Harada) harad****@nttda*****
TOMOYO
Fork