t.pira
piras****@gmail*****
2006年 9月 24日 (日) 12:04:29 JST
TOMOYO
Forkぴらさかです。
早速のお返事ありがとうございます。
当方、体調不良でDownしてましてお返事を見るのが遅れました。。。
>> 自分の利用方法で apache のポリシーを変えずに追加学習する方法ってありますか?
> とりあえず、学習モードではなくパーミッシブモードで動かして得られた
追加学習もやはり学習モードを利用したいですね。
> ...
>/root/ccstools/loadpolicy d を実行することで、学習モードと同様の結果が得られます。
ご説明ありがとうございます。まずはこの手順でやってみます。
>> これらが別々に管理できて、さらにそれぞれの単位で学習or強制モードを
>> 制御できれば、追加学習も容易になって嬉しいのですが。。。
> ドメイン単位でモードを持たせるようにすることは簡単に実装できますが、
ドメイン単位よりAP単位ではどうでしょうか?
任意のドメインとそのドメイン以下のポリシーをまとめた単位をイメージしています。
(すると SELinux の domains/programs にある te ファイルのような単位に
なるのかな?)
> いっそのこと、/proc/ccs/policy/domain_policy に
> /proc/ccs/status の内容を埋め込んでしまいましょうか?
えっ、結構大胆ですね〜。これだと多くのケーパビリティもアクセス制御
したい場合にすごいことになってしませんか?
部分的に学習/強制を切り替えられて、且つできるだけシンプルに、
ということで考えると
status は /proc/ccs/status/{httpd | sshd} にAP別に管理できるようにすると、
--------------- sshd ポリシー ------------------------
<kernel> /usr/sbin/sshd
1 /bin/bash
<kernel> /usr/sbin/sshd /bin/bash
1 /bin/ls
--------------- httpd ポリシー ------------------------
<kernel> /usr/sbin/httpd
4 /var/www/html/\*
のように今までのどおりのポリシーでいけるのかなと思いました。
> ひと目でモードを確認することができなくなってしまうので
> 複雑かつ慎重な操作が必要になってしまいますね。
> 扱いやすく見落としの起きないインタフェースを作れるかどうかが鍵になるでしょう。
まったく同感です。
06/09/22 に Tetsuo Handa <from-****@i-lov*****> さんは書きました:
>
> 熊猫です。
>
>
> > はじめまして。ぴらさかと申します。
> いらっしゃいませ〜♪
>
>
> > 自分の利用方法で apache のポリシーを変えずに追加学習する方法ってありますか?
> とりあえず、学習モードではなくパーミッシブモードで動かして得られた
> /proc/ccs/info/reject_log の内容を /root/ccstools/sortpolicy に通してやれば
> 学習モードで自動追加されるのと同様のポリシーを入手できます。
> (実際には /proc/ccs/info/*_log の内容は file_pattern によるパターン化が行われていないので
> http://tomoyo.sourceforge.jp/cgi-bin/lxr/source/fs/tomoyo_file.c#L391
> ユーザランドでパターン化するフィルタを用意する必要がありますが、簡単に作れるでしょう。)
> そこから必要な範囲だけを切り出して /root/security/domain_policy.txt に追加してから、
> /root/ccstools/loadpolicy d を実行することで、学習モードと同様の結果が得られます。
>
>
> > これらが別々に管理できて、さらにそれぞれの単位で学習or強制モードを
> > 制御できれば、追加学習も容易になって嬉しいのですが。。。
> ドメイン単位でモードを持たせるようにすることは簡単に実装できますが、
> /proc/ccs/status 経由での読み書きが面倒そうですね。いっそのこと、
> /proc/ccs/policy/domain_policy に /proc/ccs/status の内容を埋め込んでしまいましょうか?
>
> <kernel> /usr/sbin/sshd
> level MAC_FOR_FILE=1 MAC_FOR_NETWORK=1
> 1 /bin/bash
>
> <kernel> /usr/sbin/sshd /bin/bash
> level MAC_FOR_FILE=1 MAC_FOR_NETWORK=1
> 1 /bin/ls
>
> <kernel> /usr/sbin/httpd
> level MAC_FOR_FILE=3 MAC_FOR_NETWORK=3
> 4 /var/www/html/\*
>
> みたいな感じで。
> ひと目でモードを確認することができなくなってしまうので
> 複雑かつ慎重な操作が必要になってしまいますね。
> 扱いやすく見落としの起きないインタフェースを作れるかどうかが鍵になるでしょう。
>
>
> ml投稿には汚染されたくないアドレスは使わない方が良いですよ。
> 熊猫の場合、 SELinux-users 用のアドレスが日本語スパムに汚染されて
> しまっているのでそろそろ変更しようと考えています。
> _______________________________________________
> tomoyo-users mailing list
> tomoy****@lists*****
> http://lists.sourceforge.jp/mailman/listinfo/tomoyo-users
>
-------------- next part --------------
HTMLの添付ファイルを保管しました...
ダウンロード