熊猫さくらのブログ

先日、パス名を計算するために使用している __d_path() という関数に対する仕様変更が発生しました。この仕様変更により、カーネル 3.2-rc4 までは正常に動いていた TOMOYO や AKARI が、カーネル 3.2-rc5 からはカーネルパニックにより起動できなくなってしまいました。

この仕様変更は、カーネル 2.6.36 までバックポートされる可能性があり、少なくともカーネル 3.0 と 3.1 へはバックポートされる見込みです。 ccs-patch-1.8.3-20111118.tar.gz および akari-1.0.23-20111118.tar.gz はこの仕様変更に未対応であるため、今後は使用しないでください。この仕様変更に対応したものを、 ccs-patch-1.8.3-20111213.tar.gz および akari-1.0.24-20111213.tar.gz としてアップロードしましたので、そちらをご利用ください。

この仕様変更は、 TOMOYO 2.5 をカーネル 2.6.33 〜 3.1 にバックポートして使われる方、および、 TOMOYO 2.4 をカーネル 2.6.33 〜 3.0 にバックポートして使われる方にも影響します。不審な電話がかかってきたら・・・じゃなくて、カーネルパニックで起動できなくなったら、この仕様変更が原因の可能性を疑ってください。

TOMOYO 1.8 をバイナリパッケージで利用されている方は、今後のアップデートは仕様変更に対応したパッチを用いて作成されるため、対処は不要です。

• http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-December/000954.html
• http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-December/000955.html
• http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-December/000956.html

TOMOYO Linux に関するいろいろなお知らせ・・・だけでは物足りないので、エサでも撒いてみましょうかね？

セキュリティ＆プログラミングキャンプ２０１１と高度ポリテクセンターセミナーで使用した、ＣＣさくらワールド満開なテキストを公開します。

kernel.org が復旧して tar ball をダウンロードできるようになりましたが、署名のチェック方法が従来とは異なっているようです。

今までは圧縮されたファイル毎に署名ファイルがあったので、例えば linux-3.0.tar.bz2 に対する署名ファイルは linux-3.0.tar.bz2.sign という名前で配布されていました。そのため、チェックするには、 linux-3.0.tar.bz2 と linux-3.0.tar.bz2.sign を同じディレクトリに置き、

のように実行していました。しかし、 https://lkml.org/lkml/2011/10/23/122 によると、これからは圧縮前のファイルに対する署名ファイルのみの配布となるため、例えば linux-3.1.tar.bz2 に対する署名ファイルは linux-3.0.tar.sign のようになります。チェックするには、 linux-3.1.tar.bz2 と linux-3.1.tar.sign を同じディレクトリに置き、

のように実行します。署名に使われている鍵もアップデートされているので、忘れないでくださいね。

ドメイン遷移の方法を柔軟に指定できるようになりました。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-September/000918.html

Linux 3.2 では TOMOYO 2.5 が搭載され、遂にネットワークアドレスに対するアクセス制御機能の一部が使えるようになります。 TOMOYO 2.4 と同様、 2.6.33 以降までバックポートできます。ユーザランド用ツールパッケージも既に公開されていますので、バックポートを容認できる方は TOMOYO 2.4 よりも TOMOYO 2.5 がお勧めです。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-September/000915.html

AKARI は ARM や SH でも動作するようになりました。 LSM が有効なカーネルであれば、 Android でも使えることでしょう。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-September/000914.html

Linux 3.1 を採用することになったため、 TOMOYO 2.3 ではなく TOMOYO 2.4 が搭載されることになりました。 TOMOYO 2.4 の１番乗りかと思われます。

Linux 2.6.33 以降で TOMOYO 2.4 を使えるようになりました。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-August/000900.html

ユーザランド用ツールパッケージも公開されていますので、すぐに使えます。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-August/000889.html

どういう訳か、８月に開催されるセキュリティ＆プログラミングキャンプ２０１１の「セキュアなＯＳを作ろうクラス」で講師をさせていただくことになりました。 TOMOYO の考え方や TOMOYO にまつわる苦労話とかが中心になるのかな？講師経験が無く、人前に出るのが苦手な熊猫さくらに務まるものなのかドキドキしています。何をどう話すかの参考にするための過去の教材とか無いかなぁ？

９月には高度ポリテクセンターでの有償セミナーがあります。こちらは TOMOYO の使い方を習得することが中心です。

どちらも受講者を募集中だそうです。ＯＳレベルのセキュリティというと目立たなすぎて、なかなか受講者が集まらないんですよねぇ・・・。

/proc/ccs/stat でのクォータ設定に関して、項目名と値との間に空白が入っていると無視されてしまうという不具合を修正しました。また、 IPv6 アドレスについて、 RFC5952 形式の表記を扱えるように改良されました。

CentOS 6.0 がリリースされたので、 TOMOYO 対応カーネルを作成しました。レポジトリからダウンロードできます。

TOMOYO 2.3 にセキュリティ上の欠陥（ CVE-2011-2518 ）が見つかりました。信頼できないユーザにシェルアクセスを認めている場合、カーネルのアップデートを行ってください。 TOMOYO 1.x では NULL でないかどうかをチェックするラッパーを使用しているため、 TOMOYO 1.x にはこの欠陥は存在しません。

Linux 3.1 に搭載される TOMOYO 2.4 では、条件付きアクセス許可の指定もサポートされることになり、ユーザＩＤに基づく制限などが可能になります。現時点では、 Linux 2.6.38 / 2.6.39 / 3.0 に対しても Linux 3.1 の security/tomoyo/ ディレクトリ内のファイルを上書きコピーするだけで TOMOYO 2.4 を使うことができるようになる見込みです。

今回はポリシー名前空間の追加と systemd 環境への対応追加が中心です。

http://sourceforge.jp/projects/tomoyo/lists/archive/users-en/2011-June/000366.html

openSUSE 12.1 には TOMOYO 2.3 が、 Linux 3.1 には TOMOYO 2.4 が採用されることになりました。

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-June/000883.html

TOMOYO のポリシーは現在のところ名前空間に対応していません。そのため、 LXC コンテナのように pivot_root() を使用する環境で TOMOYO を使う場合、コンテナ環境の中で実行されたデーモンプログラムとコンテナ環境の外で実行されたデーモンプログラムとを区別することができないため、管理者が望まない形のドメイン遷移が発生してしまい、不便です。 pivot_root() により作成された環境はほとんど独立した１台のマシンと考えることができるため、その環境を特別なものとして扱うことが望まれます。そのため、 TOMOYO のポリシーに名前空間を導入することについて検討しています。

名前空間の検討は仮想化環境で利用しやすくするために始めたものですが、仮想化環境を利用していなくても名前空間のメリットを享受することができます。名前空間が導入されることにより、 SELinux のようにフラットなドメイン配置をすることも可能になるだけでなく、 AppArmor のようにアプリケーション単位のポリシーの作成を行いやすくなります。

仕様と実装についてはほぼ固まり、現在細かいところを詰めているところです。 TOMOYO 1.8.2 で導入される予定の名前空間は（ TOMOYO 1.3 でドメイン単位で異なる制御モードを割り当てるための）プロファイルが導入されたのと同じくらいのインパクトがあります。質問や意見などをお待ちしています。

お隣ネタに釣られてカミングアウト。

TOMOYO のドキュメントページに登場するカメラを持ったペンギンさんは、デザイナーさんにお願いするときにお見せしたこの絵が元ネタだったりします。

同じく、手足の生えた四角い生物は、 Linux におけるプロセスを管理するための task_struct 構造体を熊猫さくらが擬人化したものです。一応、 fork と execve を紹介する GIF アニメーションも作成してみましたが、まだ出番はありません。元ネタは、ツバサ・クロニクルに登場する「白まんじゅう」こと白モコナで、口元がムギュってなっているシーンから採用しました。