2012年03月03日

TOMOYO Linux 1.8.3p5 / 1.7.3p2 / 1.6.9p2 および AKARI 1.0.25 が公開されました。

マウント制限のパーミッションチェックが不正確になる場合があるのを修正しました。また、カーネル 3.4 に対応するための修正を行いました。カーネル 3.4 での修正がバックポートされた場合、古いバージョンでは起動時にカーネルパニックが発生するのでご注意ください。

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2012-March/000963.html

posted by 熊猫さくら at 22:52| Comment(0) | TrackBack(0) | TOMOYO Linux

2011年12月13日

TOMOYO Linux / AKARI をソースからコンパイルして利用されている方へのお知らせ

先日、パス名を計算するために使用している __d_path() という関数に対する仕様変更が発生しました。この仕様変更により、カーネル 3.2-rc4 までは正常に動いていた TOMOYO や AKARI が、カーネル 3.2-rc5 からはカーネルパニックにより起動できなくなってしまいました。

この仕様変更は、カーネル 2.6.36 までバックポートされる可能性があり、少なくともカーネル 3.0 と 3.1 へはバックポートされる見込みです。 ccs-patch-1.8.3-20111118.tar.gz および akari-1.0.23-20111118.tar.gz はこの仕様変更に未対応であるため、今後は使用しないでください。この仕様変更に対応したものを、 ccs-patch-1.8.3-20111213.tar.gz および akari-1.0.24-20111213.tar.gz としてアップロードしましたので、そちらをご利用ください。

この仕様変更は、 TOMOYO 2.5 をカーネル 2.6.33 〜 3.1 にバックポートして使われる方、および、 TOMOYO 2.4 をカーネル 2.6.33 〜 3.0 にバックポートして使われる方にも影響します。不審な電話がかかってきたら・・・じゃなくて、カーネルパニックで起動できなくなったら、この仕様変更が原因の可能性を疑ってください。

TOMOYO 1.8 をバイナリパッケージで利用されている方は、今後のアップデートは仕様変更に対応したパッチを用いて作成されるため、対処は不要です。

posted by 熊猫さくら at 20:05| Comment(0) | TrackBack(0) | TOMOYO Linux

2011年11月11日

TOMOYO Linux 1.8.3p2 / AKARI 1.0.22 が公開されました。

TOMOYO Linux に関するいろいろなお知らせ・・・だけでは物足りないので、エサでも撒いてみましょうかね?

セキュリティ&プログラミングキャンプ2011と高度ポリテクセンターセミナーで使用した、CCさくらワールド満開なテキストを公開します。

posted by 熊猫さくら at 23:11| Comment(0) | TrackBack(0) | TOMOYO Linux

2011年10月24日

Linux 3.1 がリリースされました。

kernel.org が復旧して tar ball をダウンロードできるようになりましたが、署名のチェック方法が従来とは異なっているようです。

今までは圧縮されたファイル毎に署名ファイルがあったので、例えば linux-3.0.tar.bz2 に対する署名ファイルは linux-3.0.tar.bz2.sign という名前で配布されていました。そのため、チェックするには、 linux-3.0.tar.bz2 と linux-3.0.tar.bz2.sign を同じディレクトリに置き、

$ gpg --verify linux-3.0.tar.bz2.sign
gpg: Signature made Fri Jul 22 12:31:02 2011 JST using DSA key ID 517D0F0E
gpg: Good signature from "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: C75D C40A 11D7 AF88 9981 ED5B C86B A06A 517D 0F0E

のように実行していました。しかし、 https://lkml.org/lkml/2011/10/23/122 によると、これからは圧縮前のファイルに対する署名ファイルのみの配布となるため、例えば linux-3.1.tar.bz2 に対する署名ファイルは linux-3.0.tar.sign のようになります。チェックするには、 linux-3.1.tar.bz2 と linux-3.1.tar.sign を同じディレクトリに置き、

$ bzcat linux-3.1.tar.bz2 | gpg --verify linux-3.1.tar.sign -
gpg: Signature made Mon Oct 24 16:17:58 2011 JST using RSA key ID 00411886
gpg: Good signature from "Linus Torvalds <torvalds@linux-foundation.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 0041 1886

のように実行します。署名に使われている鍵もアップデートされているので、忘れないでくださいね。

posted by 熊猫さくら at 22:05| Comment(0) | TrackBack(0) | Linux

2011年09月29日

TOMOYO Linux 1.8.3 / AKARI 1.0.20 が公開されました。

ドメイン遷移の方法を柔軟に指定できるようになりました。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-September/000918.html

Linux 3.2 では TOMOYO 2.5 が搭載され、遂にネットワークアドレスに対するアクセス制御機能の一部が使えるようになります。 TOMOYO 2.4 と同様、 2.6.33 以降までバックポートできます。ユーザランド用ツールパッケージも既に公開されていますので、バックポートを容認できる方は TOMOYO 2.4 よりも TOMOYO 2.5 がお勧めです。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-September/000915.html

AKARI は ARM や SH でも動作するようになりました。 LSM が有効なカーネルであれば、 Android でも使えることでしょう。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-September/000914.html

posted by 熊猫さくら at 23:29| Comment(0) | TrackBack(0) | TOMOYO Linux

2011年09月09日

openSUSE 12.1 では TOMOYO 2.4 が使えるようになります。

Linux 3.1 を採用することになったため、 TOMOYO 2.3 ではなく TOMOYO 2.4 が搭載されることになりました。 TOMOYO 2.4 の1番乗りかと思われます。

posted by 熊猫さくら at 22:40| Comment(0) | TrackBack(0) | TOMOYO Linux

2011年08月19日

TOMOYO 2.4 用のバックポートパッチを作成しました。

Linux 2.6.33 以降で TOMOYO 2.4 を使えるようになりました。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-August/000900.html

ユーザランド用ツールパッケージも公開されていますので、すぐに使えます。
http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-August/000889.html

posted by 熊猫さくら at 20:19| Comment(0) | TrackBack(0) | TOMOYO Linux

2011年07月14日

「セキュリティ&プログラミングキャンプ2011」(無償)/「 TOMOYO Linux(セキュアOS)適用技術」(有償)のお知らせ

どういう訳か、8月に開催されるセキュリティ&プログラミングキャンプ2011の「セキュアなOSを作ろうクラス」で講師をさせていただくことになりました。 TOMOYO の考え方や TOMOYO にまつわる苦労話とかが中心になるのかな?講師経験が無く、人前に出るのが苦手な熊猫さくらに務まるものなのかドキドキしています。何をどう話すかの参考にするための過去の教材とか無いかなぁ?

9月には高度ポリテクセンターでの有償セミナーがあります。こちらは TOMOYO の使い方を習得することが中心です。

どちらも受講者を募集中だそうです。OSレベルのセキュリティというと目立たなすぎて、なかなか受講者が集まらないんですよねぇ・・・。

posted by 熊猫さくら at 22:56| Comment(0) | TrackBack(0) | TOMOYO Linux

TOMOYO Linux 1.8.2p2 / AKARI 1.0.17 が公開されました。

/proc/ccs/stat でのクォータ設定に関して、項目名と値との間に空白が入っていると無視されてしまうという不具合を修正しました。また、 IPv6 アドレスについて、 RFC5952 形式の表記を扱えるように改良されました。

CentOS 6.0 がリリースされたので、 TOMOYO 対応カーネルを作成しました。レポジトリからダウンロードできます。

TOMOYO 2.3 にセキュリティ上の欠陥( CVE-2011-2518 )が見つかりました。信頼できないユーザにシェルアクセスを認めている場合、カーネルのアップデートを行ってください。 TOMOYO 1.x では NULL でないかどうかをチェックするラッパーを使用しているため、 TOMOYO 1.x にはこの欠陥は存在しません。

Linux 3.1 に搭載される TOMOYO 2.4 では、条件付きアクセス許可の指定もサポートされることになり、ユーザIDに基づく制限などが可能になります。現時点では、 Linux 2.6.38 / 2.6.39 / 3.0 に対しても Linux 3.1 の security/tomoyo/ ディレクトリ内のファイルを上書きコピーするだけで TOMOYO 2.4 を使うことができるようになる見込みです。

posted by 熊猫さくら at 22:17| Comment(0) | TrackBack(0) | TOMOYO Linux

2011年06月29日

TOMOYO Linux 1.8.2 / AKARI 1.0.15 が公開されました。

今回はポリシー名前空間の追加と systemd 環境への対応追加が中心です。

http://sourceforge.jp/projects/tomoyo/lists/archive/users-en/2011-June/000366.html

openSUSE 12.1 には TOMOYO 2.3 が、 Linux 3.1 には TOMOYO 2.4 が採用されることになりました。

http://sourceforge.jp/projects/tomoyo/lists/archive/users/2011-June/000883.html

posted by 熊猫さくら at 19:54| Comment(0) | TrackBack(0) | TOMOYO Linux