OSDN -- Open-Source-Software-Entwicklung und Downloads
Übersetzungsstatus von Deutsch translation status for de

[Tomoyo-dev 77] Re: ccstools について

Zurück zum Archiv-Index

Tetsuo Handa from-****@I-lov*****
2007年 3月 26日 (月) 22:29:55 JST 

 熊猫です。

 1.4 用のドキュメントをアップロードしました。ダウンロードURLも有効です。
http://tomoyo.sourceforge.jp/ja/1.4/  http://tomoyo.sourceforge.jp/en/1.4/
お気づきの点やご不明な点があれば遠慮なくお知らせください。



 例外ポリシーで keep_domain <kernel> という指定がされている場合に
initialize_domain (または initializer ) で指定されているプログラム用の
ドメイン(例えば <kernel> /usr/sbin/sshd )が到達不能と判定されてしまう不具合を修正するパッチです。
http://osdn.dl.sourceforge.jp/tomoyo/24615/ccs-tools-1.4-20070401.tar.gz を展開して
ccstools ディレクトリへ移動してから patch -p1 < patch.txt で適用できます。
あとは、 make -s で再コンパイルされるはずです。
明日動作確認をして、問題がなければ取り込みたいと思います。
(その動作確認の項目を用意するのが困難なのですが。)



 TOMOYO Linux 1.3.2 ではドメイン遷移を自由に設計できるように
たくさんのディレクティブが用意されています。

 keep_domain ディレクティブは、 no_keep_domain ディレクティブまたは
initialize_domain ディレクティブで指定されたプログラムが実行されない限り
keep_domain ディレクティブにより指定されたドメインに留まる機能です。

 no_keep_domain ディレクティブは、 keep_domain ディレクティブで
指定されたドメインから抜けるための条件を指定するために利用します。例えば

keep_domain <kernel> /usr/sbin/sshd /bin/bash
no_keep_domain /bin/bash from <kernel> /usr/sbin/sshd /bin/bash

のように指定すると、 <kernel> /usr/sbin/sshd /bin/bash ドメインから
/bin/bash が実行された場合は <kernel> /usr/sbin/sshd /bin/bash /bin/bash ドメインへ遷移するが、
/bin/bash 以外が実行された場合は <kernel> /usr/sbin/sshd /bin/bash ドメインに留まります。

 initialize_domain ディレクティブは、指定されたプログラムが実行された場合に
<kernel> 直下のドメインに遷移させるために利用します。例えば、

initialize_domain /usr/sbin/sendmail.sendmail

のように指定すると、 /usr/sbin/sendmail.sendmail が実行された場合は
<kernel> /usr/sbin/sendmail.sendmail ドメインへ遷移します。

 no_initialize_domain ディレクティブは、 initialize_domain ディレクティブで
指定されたプログラムが実行されても <kernel> 直下のドメインに遷移させたくない場合に利用します。例えば、

initialize_domain /usr/sbin/sendmail.sendmail
no_initialize_domain /usr/sbin/sendmail.sendmail from /bin/mail

のように指定すると、 /bin/mail (正確にはドメイン名が /bin/mail で終わる任意のドメイン)から
/usr/sbin/sendmail.sendmail が実行された場合には <kernel> /usr/sbin/sendmail.sendmail ドメインへ
遷移させないようにすることができます。



 昔は initializer/trust_domain しか無かったので単純でしたが、 1.3.2 では
keep_domain/no_keep_domain/initialize_domain/no_initialize_domain の4種類に増やし
さらに必要に応じてドメイン名の指定もできるようにすることで複雑な指定を可能にしたため、
ポリシーエディタでは # と * と ! を用いてそれぞれ「 keep_domain が指定されているドメイン」
「 initialize_domain が指定されているプログラムが動作するドメイン」
「 keep_domain または initialize_domain が指定されていることが原因で到達不能な状況にあるドメイン」を
表示するようにしています。

 その代わり、テストケース作りで自爆してしまいました。(^x^;
現在でもいくつのテストケースを用意すれば網羅できるのかを計算できていません。
ポリシーエディタでいろんな指定を試してみるというテストにご協力いただけると助かります。
「どうして○○と表示されているのだろう?△△だと思うけどなぁ?」というケースを
見つけましたら教えてください。よろしくお願いします。 m(__)m
-------------- next part --------------
テキスト形式以外の添付ファイルを保管しました...
ファイル名: patch.txt
型:         application/octet-stream
サイズ:     2270 バイト
説明:       無し
Download

tomoyo-dev メーリングリストの案内
Zurück zum Archiv-Index