TOMOYO Linux
HARUHI Linux に改称しろよ
いまからでもNAGATO Linuxにすればまた復活するかも?
拒否ログは兎も角、許可ログはどうにかしたい。
status.txtに「MAX_GRANT_LOG=0」を付け足しても延々と吐き出される。
auditを使っているらしいが、そもそも何処で設定しているのか全く分からん。
素直に1.4系統を使えというのか。
機能としてはファイル制御くらいしか使わないからパッチ当て楽な2.0が良いのだけどなぁorz
それ自体、読んでる人口を考えるとねぇorz
ある程度有名所なディストリがディストリ公式パッケージのカーネルにTOMOYOたんを仕込んでくれれば広まるかもしれんが。
SE LinuxもAppArmorも有名所のディストリに組み込まれて広まった感が強いし。
でもFedoraは既にSE Linux、SuseはAppArmorの路線は変わらんだろうし。
Debianも…無理だよなぁ。
残るは(日本限定で言えば)Vineくらいか。
そいやTurboのサーバ版に仕込まれたんだけか(対応可能になっただけ?)。
もう時期出るTurbo11S or Turbo12D辺りに組み込まれていたら戻って……みないよなぁ。
矢野しゃちょーが健在が限りはorz
ポリシーのファイル名を変えるのは勘弁して欲しかったです。
現在Vineでごりごりカーネル再構築中。
気になった…というより面倒と思った点が数点(Vineしか使っていないので悪しからず)。
ccs-toolslのコンパイルでopenssl-develが必要になってた(make中にopensslを使った動作が実行できないと怒られる)。
1.4.xではopenssl-develが無くてもコンパイル可能だった。
/etc/ccs内のファイル名が変更されているから既存ポリシ群がそのまま使えず、既存のポリシファイルを「○○.conf」にリネームする必要がある。
initializerが使えなくなっているからexception_policy.confをvi等々で開いてinitialize_domainに置換しないと使えない。
マウント操作のアクセス許可の確認方法が変わっているからRESTRICT_MOUNTとかを使っている場合、一旦学習モードに戻したほうが無難?
自分の方法が効率悪いのかもしれないけど、旧ポリシを引き継ぐ方法やツールがあると便利かも…と今回は思った。
インストール方法は公式ページやwikiにあっても何気にバージョンを上げる方法はなかったりするんだよね(自分は見つけられなかった)。
specファイルは別ディレクトリにあると、あまりディレクトリツリーが
汚くならずにすむので良いと思います。
Open Discussionフォーラムというのもありますので、良ければご利用ください。
今週は何故か海外からも書き込みがあり、LFS (Linux From Scratch)という
ディストロでの動作と手順が報告されています。
それにしてもwebやwikiやmlやら色々やっているのにここが一番発言が
多いというのはなんだか不思議です。
道筋は出来始めてきたと思うよ。
あとはEclipse pluginじゃない独立したGUIツールと、詳細なドキュメント?
があればいいかんじになるんじゃないでしょうか。
日本ってセキュリティ意識が企業個人ともに低いよね。これからだと思う。
なら(LSMを使う)AppArmorとかSMACKを突っ込んでやる、
というながれで、TOMOYOのパッチが。
正に機を見るに敏
関西オープンソース2007
http://k-of.jp/2007/kof.html
に参加することにしました。
「11/10 土曜の 15:00 から 50 分、9F H-6」
です。
TOMOYOの使い方は「カスタマイズ」なので、SELinuxやAppArmorのような
デフォルトのポリシーはありません。同じ学習モードでも比べてみると
学習結果はサーバ毎に異なっていることがわかります。
もし学習モードでなくきめうちのポリシーを「強制モード」で起動するように
して配布すると、色々動かないものがでてくるわけです。
プロジェクト内でもLiveCDから入門する人用のドキュメントがないことを
認識しているので早めに対処します。
長文は止めてください。
http://www.atmarkit.co.jp/fsecurity/special/103kernelwatch/kernelwatch01.html
よい方向ではあるんじゃないですかね
エイドリアン、バカ禁止。
おいらはバカ野郎のたわごとには興味ないんだぜ。
だけ分かった。その後だれか訳してくれ。
興味深い。根拠説明キボンヌ
http://www.asahi-net.or.jp/~jg3h-snj/osc2007/embedded_secureos.pdf
横からごめんなさいだけど組み込みだとOpenBSDの方が良くね?
って言うのは無いの?OpenBSDにはセキュリティ機構的な物は
無かったように思うんだけど、カーネルの堅牢さを頑張ってるしで。
その辺どうなの?TOMOYOを始めLinuxのセキュリティってマルチユーザー環境で
特権を奪われないっていう感じがするような気がする。
セキュリティを語る側の人間である>>477が
信用の無い行為するのはどうなんだよw
何をどのくらいどう学習させるのか
解説してるサイトある?
ドキュメントは点在。
一冊本をだしてもらえれば、ありがたい。
新たに書くと内容は新しくなるのは良いですが、利用してもらえるように
なるまでに時間がかかりすぎるので、まずは
・技評さんに連載のムック化が可能か相談する
・技評さんに連載記事のweb掲載が可能か相談する
の線であたってみます。
>>542
心配してくれてありがとう。"(ノ_・、)"
/etc/ccs 消しました。Wiki も情報が新旧混ざってますねぇ。
ところでせんせー質問いいですか!
apache の動作を制約してみようかと、editpolicy で apache の学習結果とにらめっこしてます。
- allow_create /var/tmp/etilqs_<ランダムな文字列> というエントリがたくさんあるんですが、
まとめるには、A して allow_create /var/tmp/etilqs_\* でOKですか?
- 基本全部通すけれど、特定のIPアドレスは許可しないというのはできますか?
- udev と 小狼君は協調できますか?
いつも通りVineで無事再構築終了。
自分の環境に今回の修正はあんまり影響なさそうだったけど気分的に常に最新版を(→これで他の事でもよく地雷踏んでるが)。
マイナーアップみたいなので左程問題が発生するとは思えないですが、取りあえずリリースされたらされたで公式ページにその情報は出して欲しいなぁ…と少々希望。
ところで…/usr/sbinにもccsツールが入るようになっているようですが何か事情があったのでしょうか。
大丈夫なはずだが駄目だったら時空太閤HIODEHOSHIのせいにすれば良いニダ。
/etc/ccs/profile.confを弄っているなら…
xargs -0 setlevel < /etc/ccs/profile.conf
をしておいた方が良いニカ?
FreeBSD7.xでルータ化ニカ?
素直に6.3出るのを待って6Stableで使った方が良さ気ニダ(5系統は微妙)。
TOMOYO BSDでも出れば使いたいニダ。
それにしてもSDにあったSSHログイン時の小技は良いニダよ。
/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上でログイン後に認証取らないとなーんにもできないようにしてやったニダ。
個人鯖なら認証の回数はやりたい放題なのが気に入ったニダ。
外部野ざらしは怖い怖い。
もぱようござる
フリBSD7.0のzfs使ってみたかったニダよ
最初からzfsぢゃないんだな(泣 新しいのでないとイヤダイヤダ
address eth0とかtun0とかinterfaceで指定出来ないかのぅ?
wanだとダイナミックDNSとか使ったときアドレス変わるから繋がらなくなりそうな
オカン時々僕とオトン こういう使い方がよくないのかしらん
setprofile -r 3 "<kernel>"selinuxもenforceにすると強烈でつ
シャットダウンできましぇんwww
ファイルシステム ”/”以下全部制御したい気分
>/usr/sbin/sshdをガチガチにルール固めて鍵認証使わないとログインできないようにした上で
>ログイン後に認証取らないとなーんにもできないようにしてやったニダ。
保護するの/usr/sbin/sshdだけでいいニカ?
接続はwan→lan lan→lanへ別の端末?
wanからのsshはやっぱりポートを開けねばならぬのぅ
VPNにしてwan0に仮想的にプライベートアドレスを割り当てられるのだらうか
sshの小ネタ集 SDのバックナンバー買ってくる ムムム
CTUみたく衛星回線でスクランブル発信で自動的にポートが開けられるとか フフフ
結論から言うと、このwarningは無害です。
警告を消すには、Makefileの35行目のコメントアウトを解除して、
37行目をコメントアウトしてください。
Vineで出ずにEtch/Lennyで出る、というのは、
Vineのgccが、この警告を表示するオプションno-pointer-signが
まだ実装されていないバージョンのためです。
TOMOYOの内部では文字列をunsigned charポインタで表現していますが、
strlenなどの関数が受け取り方がただのcharポインタであることが原因です。
>アプリケーションの挙動を見つめ続けるというのを考えるとやっぱTOMOYOじゃないとダメだと思う。
>萌えるストーカーちっくな子が出たらライバルになるかも。エルルゥ?
今まではTCPmon squrd トリップワイヤ とかいろいろ使ってあれこれ試行錯誤
あれ? どうしてレスしてしまったのか
管理する人間にしてみればTOMOYOが出て随分楽になるのでふぁ
>思考実験ではある日普段にない挙動が出るとそのまま失敗になってアプリが止まってしまう可能性がある事かしら。
自分も前おんなじ様なこと書いたような気が駿河
TOMOYOタン思考停止はい神崎
apache スクリプトでTOMOYOログ監視してストポみたいなエラーでたら
携帯にメイル発信するとか
んで、SSHでリモートからあぱちぇ再起動 ウマー
そしたならば、うちに帰ってから再学習させればよかっぺ
ヲレ様って頭いい〜とか自画自賛してみるが、
その昔日経コンピューターで特集やってたのを言ってみただけだwwwww
採用してた会社は遠い記憶で東京三菱うふぁじゃぁ銀行
それでふぁ失礼したいのでつが その前におちっこ
>>684
>就活しなきゃいかんのにまだ決まってないモラトリアムな病弱院生1年生。
せんせ〜の足にしがみついて、だた様マンセ〜 ダタ様マンセ〜
と、叫んでみると あら不思議 目の前にまっさらの履歴書があるわけです。
ストーカーチックでつね 名前も貞子に
あれ ディスプレイの電源が入ってる・・・・・・・。
風でなくても脳が沸いてるヲレなんですが
すかしっぺ
結果をその場で予め決められたとおりに下すんじゃなくてデスクトップ用途で使うならアラートダイアログが出て
「ともよちゃんがさくらちゃんを着せ替えしようとしてるけど、実行してよかと?だめと? <<やー>> <ないん>後10秒…」みたいなモードがあると面白そ
[Tomoyo-dev 776] ステートフルなアクセス許可のサポートについて
なんとなく読んでみる。
allow_execute /bin/sh if exec.envp[\"HOME\"]=\”/home/\\*\”
極論を言うと/homeがシンボリックリンクなどで改ざんされいないという
性善説が大前提になるだ。
ヲレ様頭堅すぎるのかな?
ファースト Tomoyo-dev 775
プログラムの中にじゃんじゃん掘り込むのデブになっちまぅ
/etc/ccs/exception_policy.conf以下に
iptableやFreeBSDのpfみたいにif構文みたいなプログラム形式で
書くのいかがでせうか
セカンド Tomoyo-dev 776
なんとなくわかるのでつ
CGIが増やしたプロセスの中に不正なプロセスが紛れ込んでいる
いやらしい僕ちゃんがいると 大変なことに
うーん これも頭が固すぎるのか
最近チンチン固くしてないな
あぁ せんせ〜は海外逃亡中みたいでつね
お家の一大事でつ
http://itpro.nikkeibp.co.jp/article/NEWS/20080222/294479/
ベルギ〜チョコ!!! ベルギ〜チョコ!!!
>うん OLS2008独演会一本目採用おめ
どうもありがとう。ただ、直接TOMOYOの発表(提案)ではなく、
Linux自体の話になるため少々複雑な心境です。
プロジェクトとしてはあと熊猫先生の2件のうちの1件
(Tutorial)が現在結果待ち。発表予定は既にサイトで確認できます。
SELinuxはやはり強い。
http://www.linuxsymposium.org/2008/speakers.php?types=TALK
http://www.linuxsymposium.org/2008/speakers.php?types=TUTORIAL
http://www.linuxsymposium.org/2008/speakers.php?types=bofs
今日はここまで。
http://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-3
全然「ほえ〜」でもなければ「はにゃ〜ん」でもありませんでした
なにか設定が間違っているのでしょうか??
サルでもわかるTOMOYOってどこかにない?
神様申し訳有馬温泉
どうすれば? もぅいいクビだ
・・・・・。
職安逝って来る
さて、バッファオ〜バ〜フロ〜でつ
学習モ〜ドでふぁログをガリガリと書いていきまつ
禁欲モ〜ドでどうなるニダね
常用環境で試して どうなろうと僕はしりましぇん
こ〜ゆ〜のは業界でテストケ〜スと課言うんでつか
バッファオ〜バ〜フロ〜起こさせるようなプログラムないか
ちょっとCTU行ってくる
何故許可ログが/var/log/tomoyo/reject_log.txtに書き込まれるのじゃろう。
MAX_GRANT_LOG=0にしても書き込まれる。
カーネル再構築の際にMAX_GRANT_LOGの標準値を0にしても書き込まれる。
Vine4.2、TOMOYOタンは1.6.0。
TOMOYOタンが1.5.xの頃は書き込み抑制できたのに…。
我が悪いのか我が悪いのか我が悪いのかorz
>/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt
ccs-auditd に渡す2つのパス名の内、
1つめが許可ログ(ポリシーに存在しているアクセス要求のログ)の保存場所、
2つめが拒否ログ(ポリシーに存在していないアクセス要求のログ)の保存場所です。
ですので、拒否ログ( /var/log/tomoyo/reject_log.txt )を出力させたくない場合には
>「プロファイル番号-MAX_GRANT_LOG=0」と追記してもべっとり。
ではなく、
「プロファイル番号-MAX_REJECT_LOG=0」を指定ください。
>#2008-04-20 22:01:20# profile=0 mode=disabled pid=2131 uid=0 gid=0 euid=0 egid=0 suid=0 sgid=0 fsuid=0 fsgid=0 state[0]=0 state[1]=0 state[2]=0
><kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi
>use_profile 0
これは正常なログです。 /bin/bash から /bin/vi が実行されたことにより、
<kernel> /usr/sbin/sshd /bin/bash /bin/su /bin/bash /bin/vi というドメインが
新規作成され、プロファイル番号として 0 が割り当てられたというログです。
1.6.0 では、学習モードを使わなくても拒否ログから学習モードと同等の結果を
得られるようにするために、ドメインが新規作成された時に上記のようなログを
拒否ログとして出力するようになりました。
deny_read とか拒否ルールは書けたりは出来ないんでしょうか。。
>>895
> 普通は ~/.ssh とかにアクセスさせたくないという理由で
> 例えば ~/firefox-data 以下の読み書きだけを許可するといった
> 指定をすると思うのですが・・・。
おっしゃる通りです。orz
> grep 3-MAC_FOR_FILE /proc/ccs/profile を実行して
> enforcing と表示されることを確認してください。
はい、enfocingと表示されています。
> exception_policy.conf を編集後には loadpolicy e を、
> domain_policy.conf を編集後には loadpolicy d を
> 実行していますよね?(しないと反映されません。)
ccs-editpolicyで編集しているので、即反映だと思われます。
> あと確認するとしたら、本当に firefox が
> <kernel> /usr/lib/iceweasel/firefox-bin
> ドメインに属しているかどうかですね。
> firefox に学習モード( use_profile 1 )を指定して
> firefox から ~/Docs 以下のファイルにアクセスしてみてください。
> もし、 firefox が <kernel> /usr/lib/iceweasel/firefox-bin
> ドメインで動作しているのであれば、そのドメインに
> firefox からアクセスしたファイルのパス名が追加されているはずです。
はい、確かに学習モードだと /home/taku/Docs/hoge とかがエントリーされます。
痴話喧嘩ktkr なんだよwwww
ステファン:と と ともよタン! どうしてコード変えたの? ウリの事嫌いニダか! 謝罪と賠償(ry
ともよタン:ん そ そんなつもりぢゃ ないでつ。 あ。。。
S:なんで なんでなの ともよタンのバカ! サンノゼであんなに愛し合ったのに! アレはなんだったの!
T:あぅあぅ
S:もぅ嫌い!
T:ぐあしあぐあしあ (@_@)
こうですね わかります。
つかLKML詠んでないけど なんで変えたんだよw
ステファン先生ご立腹。
ステファンの愛 木お見て森進一
MMパッチ神のお告げで御開帳
ブルハーみたいに
君ちょっと逝ってくれないか 君ちょっとすてごまになってくれないか
いざこざにまきこまれて 泣いてくれないか
LSMも似たようなもんだ ハァハァするには十二分
ubuntu-jaにはパッチのみで、適用済kernelが見当たりませんでした。
適用済kernel配布は止めちゃったのでしょうか?
2つのパッケージをインストールしてからmenu.lstの順番を入れ換えて起動しましたが
nvidiaドライバが動かず、Xまで立ち上がりませんでした。
モジュールパッケージにnvidiaなどは組み込まれてないのでしょうか?
>>918
8.04のLiveCD版はnvidiaなどもすんなり入るでしょうか?
入るとすれば、上で動かなかったのはどこが間違えてるのでしょうか?
今発見しましたが、このページ見やすくていいですね。
http://tomoyo.sourceforge.jp/ja/1.6.x/1st-step/ubuntu8.04/
nvidiaのgeforce5系のボードを使用していまして
hardyでは
linux-restricted-modules-*-generic
にnvidiaのモジュールが含まれていて、当方のボードもこれを必要としているようです。
このモジュールにatiのモジュールも含まれているようで
整備していただけると両ユーザーは助かると思います。
この情報で足りるでしょうか?
>鞄の盗難の話kwsk
http://www.thinkit.co.jp/article/68/5/
全5話で「盗難」は第3話にでてきます。すべて実話でネタはありません。
ない。
ポップアップみたいなのが出て全部許可したくらいだ。
以前PCの保護どうしようかと思った時
selinux→ シラネ
apparmor→なんとなく使ってみる yast2ながめる よくわからん
ドキュメント眺める 英語だ めんど? ヤメタ のべる嫌い。
ほか探す あぁそういえばtomoyoあったな。
冥土イン日本 ドキュメントジャパニーズ tomoyoユーザになる (゜Д゜)ウマー
tomoyoもapparmorやselinuxみたいにピコピコポップアップ出るといいかもしれない。
コードパクルのはあきまへんのやろか?
>>961
パスベースとinodeのネタ
遠い記憶 今までさんざん出てたような希ガス。
パスベースだと ポインタの偽アドレスとかシンボリックとかでウイルスにリンク
カ?ネル破壊 (゜Д゜)ウマー
これで合ってるかわからんけどw ずっと宗教論争みたいな希ガス。
tomoyoみたいにリンク先の整合性保てるコードなら良いんじゃない過渡。
今からopensuse 11.0RC1インスコ (゜Д゜)ウマー
Post a Comment