2008年02月02日

TOMOYO Linux 1.5.3 が公開されました。

今回はカーネルのバグフィックスと、ツールの機能拡張です。
http://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-January/000330.html

普通、マウント操作といえば、「mount /dev/sda1 /mnt/sda1/」とか「mount --bind /mnt/src/ /mnt/dest/」のように、マウントポイントとしてディレクトリを指定すると思います。
驚いたことに、「touch /mnt/null; mount --bind /dev/null /mnt/null」のように、マウントポイントとしてディレクトリでないものを指定することもできると教えてもらいました。( http://lkml.org/lkml/2007/12/17/514
ln によるハードリンクはマウントポイントを超えて行うことはできませんが、 mount --bind によるマウントであればマウントポイントを超えてハードリンクを作成したかのように見えます。(ただし、実際にはリンクカウントが増えるわけではないので、 mount --bind によるマウントはハードリンクを作成することとは違います。)

ツールでは、GUIからの操作を意識して savepolicy や loadpolicy を拡張したほか、ポリシーエディタを一部書きなおしました。
editpolicy での O コマンドをヘルプ画面に追加、ソート順を切り替える @ コマンドを追加、そして 1 〜 7 という数値よりも rwx の方が嬉しいというユーザのために環境変数を使ってキーワードの別名指定ができるようにしました。 ITpro EXPO 2008 の展示では説明しやすくするために以下のような別名を使いました。

ディレクティブ名別名
1allow_execute
2allow_write
3allow_write/execute
4allow_read
5allow_read/execute
6allow_read/write
7allow_read/write/execute

例外ポリシーでは読み込み許可が 4 ではなく allow_read というディレクティブを使っていること、ドメインポリシーでは読み書き実行以外のアクセス許可が全て allow_ で始まっているため、ドメインポリシーにおける読み書き実行の許可だけが数値というのに違和感があるため、 TOMOYO Linux 1.6.x では、以下のようにディレクティブ名を変更したいと考えています。

1.5.x までのディレクティブ名1.6.x でのディレクティブ名
1allow_execute
2allow_write
3allow_write
allow_execute
4allow_read
5allow_read
allow_execute
6allow_read/write
7allow_read/write
allow_execute

TOMOYO Linux 1.1.1 以降では、強制モードにおいてポリシー違反が発生した場合に、要求を直ちに拒否するのではなく、管理者に判断を仰ぐという機能が実装されています。この機能は、ソフトウェアのアップデート時にライブラリファイルのパス名が変化したり、普段は起こらない突発的な要求を処理するために使うことができます。
今回、この機能を利用して、強制モードにおけるポリシー違反の発生を直ちにメール等で通知するためのユーティリティを追加しました。使い方は、

/usr/lib/ccs/misc/ccs-notifyd 0 'mail 携帯電話などのアドレス'

です。なお、このユーティリティは、 ccs-queryd と同様、プロファイルで ALLOW_ENFORCE_GRACE=1 が指定されていない場合には機能しません。また、ポリシー違反が発生する度に通知を行うとメールの洪水になりかねない(1秒間に50回とかいう頻度でポリシー違反が発生することもありえる)ため、 ccs-notifyd は最初のポリシー違反だけを通知して終了するような仕様になっています。重複起動もできないようになっていますので、 /etc/crontab から定期的(例えば1日1回とか、1時間に1回など)に起動するという使われ方を想定しています。不具合や要望などがありましたらどうぞお知らせください。

/etc/crontab への記述例動作
* * * * * root /usr/lib/ccs/misc/ccs-notifyd 0 'mail root@example.com'1分に1回まで通知する
00 * * * * root /usr/lib/ccs/misc/ccs-notifyd 0 'mail root@example.com'1時間に1回まで通知する
posted by 熊猫さくら at 15:05| Comment(0) | TrackBack(0) | TOMOYO Linux
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/10398106
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック