熊猫さくらのブログ

公開されたのは１０周年記念である２０１５年１１月１１日です。

今年はずっとOOM killer との死闘を繰り広げていました。
簡単にまとめると、

1. Linux カーネルのメモリアロケータは経験則に基づくヒューリスティックの塊。
2. そのため、カーネル開発者が想定していなかった負荷が掛かった場合、 OOM killer が発動しないまま無限ループに陥る状況が簡単に発生する。
3. つまり、 OOM killer が発動できたら、それはラッキーである証拠。 OOM killer が発動できなかったら、諦めるしかない。
4. そして、無限ループに陥っている可能性を知らせる機能は存在しない。そのため、何が発生しているのかを観測できず、メモリ管理に起因した問題として修正することもできない。
5. その結果、「システムがハングアップしたらメモリ管理を疑え！？」という諺が誕生しても不思議ではない。
6. Linux 4.6 に向けて、 OOM 状態の検知と OOM killer の改善に本腰を入れようとしている。しかし、バックポートについては全然考慮されていないため、既存システムへの適用は絶望的である。

という状況です。 Linux の利用者も、トラブル対応を行うサポートセンタの人たちも、解けないパズルで悩むことが無いように、 RHEL 7.2 のリリースまでに決着をつけたかったのですが、来年へと持ち越しとなりました。

use_group を複数個指定できるようにすることにより、ポリシーの重複部分を削減しやすくなりました。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2015-May/001004.html

２０１１年９月以来の久しぶりのアップデートな訳ですが、ずいぶんと状況が変わりました。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2015-April/001003.html
Linux カーネルと Linux システム管理についての心配事がいろいろと増えてしまい、現実世界の心配事にまで手が回らなくなってしまっています。

2段階認証を使おう〜「Microsoft」「Google」「Yahoo! JAPAN」「Facebook」という記事を見て、ケロちゃんチェックを思い出した人は手を挙げて〜。（笑）

６年半前にスラドの記事になった時には、携帯電話まで巻き込むのはどうなのよ的な意見もありましたが、時は流れてスマホが普及し、実際に認証のためのデバイスとして使われ始めてきているんですね。

一方、セキュア OS そのものは・・・相変わらず、陽が当らないですねぇ。

マウント制限のパーミッションチェックが不正確になる場合があるのを修正しました。また、カーネル 3.4 に対応するための修正を行いました。カーネル 3.4 での修正がバックポートされた場合、古いバージョンでは起動時にカーネルパニックが発生するのでご注意ください。

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2012-March/000963.html

先日、パス名を計算するために使用している __d_path() という関数に対する仕様変更が発生しました。この仕様変更により、カーネル 3.2-rc4 までは正常に動いていた TOMOYO や AKARI が、カーネル 3.2-rc5 からはカーネルパニックにより起動できなくなってしまいました。

この仕様変更は、カーネル 2.6.36 までバックポートされる可能性があり、少なくともカーネル 3.0 と 3.1 へはバックポートされる見込みです。 ccs-patch-1.8.3-20111118.tar.gz および akari-1.0.23-20111118.tar.gz はこの仕様変更に未対応であるため、今後は使用しないでください。この仕様変更に対応したものを、 ccs-patch-1.8.3-20111213.tar.gz および akari-1.0.24-20111213.tar.gz としてアップロードしましたので、そちらをご利用ください。

この仕様変更は、 TOMOYO 2.5 をカーネル 2.6.33 〜 3.1 にバックポートして使われる方、および、 TOMOYO 2.4 をカーネル 2.6.33 〜 3.0 にバックポートして使われる方にも影響します。不審な電話がかかってきたら・・・じゃなくて、カーネルパニックで起動できなくなったら、この仕様変更が原因の可能性を疑ってください。

TOMOYO 1.8 をバイナリパッケージで利用されている方は、今後のアップデートは仕様変更に対応したパッチを用いて作成されるため、対処は不要です。

• http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-December/000954.html
• http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-December/000955.html
• http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-December/000956.html

TOMOYO Linux に関するいろいろなお知らせ・・・だけでは物足りないので、エサでも撒いてみましょうかね？

セキュリティ＆プログラミングキャンプ２０１１と高度ポリテクセンターセミナーで使用した、ＣＣさくらワールド満開なテキストを公開します。

ドメイン遷移の方法を柔軟に指定できるようになりました。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-September/000918.html

Linux 3.2 では TOMOYO 2.5 が搭載され、遂にネットワークアドレスに対するアクセス制御機能の一部が使えるようになります。 TOMOYO 2.4 と同様、 2.6.33 以降までバックポートできます。ユーザランド用ツールパッケージも既に公開されていますので、バックポートを容認できる方は TOMOYO 2.4 よりも TOMOYO 2.5 がお勧めです。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-September/000915.html

AKARI は ARM や SH でも動作するようになりました。 LSM が有効なカーネルであれば、 Android でも使えることでしょう。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-September/000914.html

Linux 3.1 を採用することになったため、 TOMOYO 2.3 ではなく TOMOYO 2.4 が搭載されることになりました。 TOMOYO 2.4 の１番乗りかと思われます。

Linux 2.6.33 以降で TOMOYO 2.4 を使えるようになりました。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-August/000900.html

ユーザランド用ツールパッケージも公開されていますので、すぐに使えます。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-August/000889.html

どういう訳か、８月に開催されるセキュリティ＆プログラミングキャンプ２０１１の「セキュアなＯＳを作ろうクラス」で講師をさせていただくことになりました。 TOMOYO の考え方や TOMOYO にまつわる苦労話とかが中心になるのかな？講師経験が無く、人前に出るのが苦手な熊猫さくらに務まるものなのかドキドキしています。何をどう話すかの参考にするための過去の教材とか無いかなぁ？

９月には高度ポリテクセンターでの有償セミナーがあります。こちらは TOMOYO の使い方を習得することが中心です。

どちらも受講者を募集中だそうです。ＯＳレベルのセキュリティというと目立たなすぎて、なかなか受講者が集まらないんですよねぇ・・・。

/proc/ccs/stat でのクォータ設定に関して、項目名と値との間に空白が入っていると無視されてしまうという不具合を修正しました。また、 IPv6 アドレスについて、 RFC5952 形式の表記を扱えるように改良されました。

CentOS 6.0 がリリースされたので、 TOMOYO 対応カーネルを作成しました。レポジトリからダウンロードできます。

TOMOYO 2.3 にセキュリティ上の欠陥（ CVE-2011-2518 ）が見つかりました。信頼できないユーザにシェルアクセスを認めている場合、カーネルのアップデートを行ってください。 TOMOYO 1.x では NULL でないかどうかをチェックするラッパーを使用しているため、 TOMOYO 1.x にはこの欠陥は存在しません。

Linux 3.1 に搭載される TOMOYO 2.4 では、条件付きアクセス許可の指定もサポートされることになり、ユーザＩＤに基づく制限などが可能になります。現時点では、 Linux 2.6.38 / 2.6.39 / 3.0 に対しても Linux 3.1 の security/tomoyo/ ディレクトリ内のファイルを上書きコピーするだけで TOMOYO 2.4 を使うことができるようになる見込みです。

今回はポリシー名前空間の追加と systemd 環境への対応追加が中心です。

http://sourceforge.jp/projects/tomoyo/lists/archive/users-en/2011-June/000366.html

openSUSE 12.1 には TOMOYO 2.3 が、 Linux 3.1 には TOMOYO 2.4 が採用されることになりました。

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-June/000883.html

TOMOYO のポリシーは現在のところ名前空間に対応していません。そのため、 LXC コンテナのように pivot_root() を使用する環境で TOMOYO を使う場合、コンテナ環境の中で実行されたデーモンプログラムとコンテナ環境の外で実行されたデーモンプログラムとを区別することができないため、管理者が望まない形のドメイン遷移が発生してしまい、不便です。 pivot_root() により作成された環境はほとんど独立した１台のマシンと考えることができるため、その環境を特別なものとして扱うことが望まれます。そのため、 TOMOYO のポリシーに名前空間を導入することについて検討しています。

名前空間の検討は仮想化環境で利用しやすくするために始めたものですが、仮想化環境を利用していなくても名前空間のメリットを享受することができます。名前空間が導入されることにより、 SELinux のようにフラットなドメイン配置をすることも可能になるだけでなく、 AppArmor のようにアプリケーション単位のポリシーの作成を行いやすくなります。

仕様と実装についてはほぼ固まり、現在細かいところを詰めているところです。 TOMOYO 1.8.2 で導入される予定の名前空間は（ TOMOYO 1.3 でドメイン単位で異なる制御モードを割り当てるための）プロファイルが導入されたのと同じくらいのインパクトがあります。質問や意見などをお待ちしています。

お隣ネタに釣られてカミングアウト。

TOMOYO のドキュメントページに登場するカメラを持ったペンギンさんは、デザイナーさんにお願いするときにお見せしたこの絵が元ネタだったりします。

同じく、手足の生えた四角い生物は、 Linux におけるプロセスを管理するための task_struct 構造体を熊猫さくらが擬人化したものです。一応、 fork と execve を紹介する GIF アニメーションも作成してみましたが、まだ出番はありません。元ネタは、ツバサ・クロニクルに登場する「白まんじゅう」こと白モコナで、口元がムギュってなっているシーンから採用しました。

予定より１０日遅くなってしまいましたが、ドキュメント／レポジトリ／ＬｉｖｅＣＤなどをアップデートしました。

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-April/000803.html

今回は Android 向けの機能強化が中心です。

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-March/000799.html

カーネル 2.6.36 以降に搭載されている TOMOYO Linux 2.3.0 に、メモリリークが発見されました。（既に 2.6.38-rc7 まで来ているため、即時の修正ではなく） 2.6.38 のリリース後（つまり 2.6.38.1 のリリース時）に修正が反映されるものと思われます。 TOMOYO Linux 2.3.0 をご利用の方（ Ubuntu の Natty Narwhal をテスト中の方を含みます）は、上記リンクで示されているパッチを適用するか、あるいは rewrite パーミッションのチェックを無効化してください。

アクセスログを読み出す際のバッファサイズがアクセスログよりも小さい場合、同じアクセスログが何度も読みだされるという無限ループに陥る可能性があったのを修正しました。

AKARI は（プロジェクト開始時は無理だと思われていた 2.6.0/2.6.1/2.6.2 カーネルにおいて vfsmount スピンロックのアドレスを割り出す方法を発見したことで）「ＬＳＭが有効になっている全ての 2.6 カーネルで動作」するようになりました。（今更 2.6.0 対応を追加するというのは意地を張っているだけにしか聞こえませんが。（笑））

Jamie Nguyen さんが TOMOYO プロジェクトサイトの再構築を引き受けてくれたため、サイトが大幅にリニューアルされています。きっと驚くことでしょう。

マウントポイントが不明な場合、マウントポイントまでのパス名の代わりとして dev(メジャー番号,マイナー番号): というプレフィックスを使っていましたが、 メジャー番号が 0 の場合のマイナー番号には意味が無いので、メジャー番号が 0 の 場合にはファイルシステム名（ tmpfs: とか devtmpfs: とか）をプレフィックスとして 利用するように修正しました。これは、 CONFIG_SECURITY_PATH=y になっていない RHEL 6 で AKARI を利用しやすくするための仕様変更です。

TOMOYO はマウントポイントが判明している箇所に TOMOYO パッチを適用するため、 dev(メジャー番号,マイナー番号): というプレフィックスを見かけることは無い筈です。 しかし、 grsecurity カーネル向け TOMOYO パッチに含まれていたバグを修正した他、 RHEL 5.6 および RHEL 6 および 2.6.38 向けの対応のための変更も行われたので、 区別できるように 1.8.0p2 にしました。

ＰＨＰネタと２ちゃんねるネタが立て続けに出てきたので、宣伝をば。（笑）

TOMOYO Linux ではプログラムのパス名１個、ファイルのパス名１個を単位として読み書き実行の可否を制限することができます。そのため、例えば /bin/cat の実行だけを許可したい場合に /bin/cat の実行だけを許可することができます。
SELinux では bin_t などのラベル単位でグループ化してしまうため、 /bin/cat の実行だけを許可するという設定は（ポリシーを０から作成する覚悟とスキルが無ければ）実現できません。
ファイルについても同様で、例えば /bin/grep コマンドに対して /var/data/ 以下のファイルは許可するけれども /etc/passwd は許可しないといった設定が可能です。

さらに、 TOMOYO Linux には execute handler という機能が搭載されています。この機能を使うと、プログラムの実行要求を横取りして、コマンドライン引数／環境変数の検査／無害化や標準入出力のリダイレクトなど、様々な前処理を挿入することが可能です。
（やっていることは man in the middle 攻撃と同じですが、システム管理者に善用してもらうために提供されています。）

利用者自らがポリシーを作成する TOMOYO Linux は、不要なコマンドやファイルへのアクセスを禁止するのに便利です。どうぞ活用してください。
（カーネル本体の置き換えが嫌だという方は、カーネルモジュールとして実装されている AKARI をご利用ください。）

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2010-December/000782.html

パワーユーザの登場で、一気にユーザランドの整備が始まりました。

Auguri Buonanno!