t.pira
piras****@gmail*****
2006年 9月 24日 (日) 12:04:29 JST
ぴらさかです。 早速のお返事ありがとうございます。 当方、体調不良でDownしてましてお返事を見るのが遅れました。。。 >> 自分の利用方法で apache のポリシーを変えずに追加学習する方法ってありますか? > とりあえず、学習モードではなくパーミッシブモードで動かして得られた 追加学習もやはり学習モードを利用したいですね。 > ... >/root/ccstools/loadpolicy d を実行することで、学習モードと同様の結果が得られます。 ご説明ありがとうございます。まずはこの手順でやってみます。 >> これらが別々に管理できて、さらにそれぞれの単位で学習or強制モードを >> 制御できれば、追加学習も容易になって嬉しいのですが。。。 > ドメイン単位でモードを持たせるようにすることは簡単に実装できますが、 ドメイン単位よりAP単位ではどうでしょうか? 任意のドメインとそのドメイン以下のポリシーをまとめた単位をイメージしています。 (すると SELinux の domains/programs にある te ファイルのような単位に なるのかな?) > いっそのこと、/proc/ccs/policy/domain_policy に > /proc/ccs/status の内容を埋め込んでしまいましょうか? えっ、結構大胆ですね〜。これだと多くのケーパビリティもアクセス制御 したい場合にすごいことになってしませんか? 部分的に学習/強制を切り替えられて、且つできるだけシンプルに、 ということで考えると status は /proc/ccs/status/{httpd | sshd} にAP別に管理できるようにすると、 --------------- sshd ポリシー ------------------------ <kernel> /usr/sbin/sshd 1 /bin/bash <kernel> /usr/sbin/sshd /bin/bash 1 /bin/ls --------------- httpd ポリシー ------------------------ <kernel> /usr/sbin/httpd 4 /var/www/html/\* のように今までのどおりのポリシーでいけるのかなと思いました。 > ひと目でモードを確認することができなくなってしまうので > 複雑かつ慎重な操作が必要になってしまいますね。 > 扱いやすく見落としの起きないインタフェースを作れるかどうかが鍵になるでしょう。 まったく同感です。 06/09/22 に Tetsuo Handa <from-****@i-lov*****> さんは書きました: > > 熊猫です。 > > > > はじめまして。ぴらさかと申します。 > いらっしゃいませ〜♪ > > > > 自分の利用方法で apache のポリシーを変えずに追加学習する方法ってありますか? > とりあえず、学習モードではなくパーミッシブモードで動かして得られた > /proc/ccs/info/reject_log の内容を /root/ccstools/sortpolicy に通してやれば > 学習モードで自動追加されるのと同様のポリシーを入手できます。 > (実際には /proc/ccs/info/*_log の内容は file_pattern によるパターン化が行われていないので > http://tomoyo.sourceforge.jp/cgi-bin/lxr/source/fs/tomoyo_file.c#L391 > ユーザランドでパターン化するフィルタを用意する必要がありますが、簡単に作れるでしょう。) > そこから必要な範囲だけを切り出して /root/security/domain_policy.txt に追加してから、 > /root/ccstools/loadpolicy d を実行することで、学習モードと同様の結果が得られます。 > > > > これらが別々に管理できて、さらにそれぞれの単位で学習or強制モードを > > 制御できれば、追加学習も容易になって嬉しいのですが。。。 > ドメイン単位でモードを持たせるようにすることは簡単に実装できますが、 > /proc/ccs/status 経由での読み書きが面倒そうですね。いっそのこと、 > /proc/ccs/policy/domain_policy に /proc/ccs/status の内容を埋め込んでしまいましょうか? > > <kernel> /usr/sbin/sshd > level MAC_FOR_FILE=1 MAC_FOR_NETWORK=1 > 1 /bin/bash > > <kernel> /usr/sbin/sshd /bin/bash > level MAC_FOR_FILE=1 MAC_FOR_NETWORK=1 > 1 /bin/ls > > <kernel> /usr/sbin/httpd > level MAC_FOR_FILE=3 MAC_FOR_NETWORK=3 > 4 /var/www/html/\* > > みたいな感じで。 > ひと目でモードを確認することができなくなってしまうので > 複雑かつ慎重な操作が必要になってしまいますね。 > 扱いやすく見落としの起きないインタフェースを作れるかどうかが鍵になるでしょう。 > > > ml投稿には汚染されたくないアドレスは使わない方が良いですよ。 > 熊猫の場合、 SELinux-users 用のアドレスが日本語スパムに汚染されて > しまっているのでそろそろ変更しようと考えています。 > _______________________________________________ > tomoyo-users mailing list > tomoy****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/tomoyo-users > -------------- next part -------------- HTMLの添付ファイルを保管しました... ダウンロード