Tetsuo Handa
from-****@I-lov*****
2011年 5月 28日 (土) 15:42:37 JST
早間義博 さんは書きました: > ドメインだけがシンボリックリンクの最終パスに変わっているようです。 そのような処理は思い当たらないのですが・・・。 要求されたプログラム(例えば /usr/bin/swatch )が #! /usr/bin/perl で始まる場合、 /usr/bin/swatch のシンボリックリンクを解決前のパス名である /usr/bin/swatch に対する allow_execute と、 /usr/bin/perl のシンボリック リンクを解決後のパス名である /usr/bin/perl5.12.3 に対する allow_read が チェックされるので、 /usr/bin/swatch を実行するドメインに対して allow_execute /usr/bin/swatch が、 /usr/bin/swatch が動作するドメインに対して allow_read /usr/bin/perl5.12.3 が学習される筈です。 > tomoyo-loadpolicy fd で実行したのですが > <kernel> /usr/bin/swatch /usr/bin/perl5.12.3 > <kernel> /usr/bin/swatch /usr/bin/perl5.12.3 /bin/date > <kernel> /usr/bin/swatch /usr/bin/perl5.12.3 /bin/tail > は残っていたのでしょうか、 > > <kernel> /usr/bin/swatch /usr/bin/perl5.12.3 /usr/local/bin/swatchmail > > は作られず、log は WARNING で溢れかえって(と言っても 20000 位)いま > した。 > domain.policy.conf を以前の状態に戻すと平穏になりました。 > ポリシーの残骸による混乱をされているようですね。 特に、 use_profile 2 (確認モード用プロファイル)での作業は、ドメインは 作成されるけれども allow_execute や allow_read などは学習されないために、 混乱を招く原因になります。 (0) TOMOYO をインストールして init_policy を実行する (1) domain_policy.conf の <kernel> ドメインの use_profile を 1 に変更する (2) 再起動して学習させ、システム全体の大まかな動作を把握する (3) 何を keep_domain や initialize_domain や file_pattern に指定するかを決定する (4) 例外ポリシーに keep_domain や initialize_domain や file_pattern を追加する (5) domain_policy.conf だけを削除して、 init_policy を再実行する (6) domain_policy.conf の <kernel> ドメインの use_profile を 1 に変更する (7) 再起動して学習させ、細かな動作まで把握する (8) チューニングをして問題が無いことを確認して、強制する という手順に従ってポリシーを再作成されることを推奨します。本格的なポリシーを 作成する場合、 (5) で今までの学習結果をリセットすることが重要です。 (4) では、 path_group や number_group や aggregator も追加しても良いでしょう。
TOMOYO
Fork