From from-tomoyo-users @ I-love.SAKURA.ne.jp Tue Nov 3 20:58:26 2009 From: from-tomoyo-users @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Tue, 3 Nov 2009 20:58:26 +0900 Subject: [Tomoyo-dev 1200] =?iso-2022-jp?b?VE9NT1lPIDEuNy4xIBskQiRLJEQkJCRGGyhC?= Message-ID: <200911032058.CBB90693.FPtNZTSPPVtTGNSUP@I-love.SAKURA.ne.jp>  熊猫です。  11月11日に TOMOYO 1.7.1 ("4th anniversary release") をリリースしようと 思っています。今回は多数のバグフィックスといくつかの機能強化が行われています。 主な変更点について以下に示します。 (1) ディレクトリと再帰的に一致する演算子のサポートが追加されました。   /\{ と \}/ が追加されました。 /\{dir\}/ というパターンは '/' + '1回以上の   dir/ の繰り返し' (例: /dir/ /dir/dir/ /dir/dir/dir/ ) に一致します。 (2) アクセスログに含まれる情報を増やしました。   従来は、 /proc/ccs/grant_log /proc/ccs/reject_log /proc/ccs/query には   ファイルの uid/gid/mode などの情報は含まれていませんでした。   if 節を使い始めたユーザの中から、 if task.uid=path1.uid のような条件式を   自動的に学習してほしいという要望が出てきています。   しかし、 if 節で指定できる全ての組み合わせをプロファイルで指定させるのは   プロファイルが複雑になりすぎるため非現実的です。そこで、アクセスログの中に   if 節で指定できる全ての情報を含ませるようにしました。   この変更により、プロファイルで CONFIG::learning={ max_entry=0 } のように   指定するという、学習モードの新しい使い方が登場しました。ポリシーで許可   されていないリクエストは全て mode=learning というヘッダ行と共に   /proc/ccs/reject_log へと送られます。 mode=learning というヘッダ行が   含まれているログの中から必要な範囲を切り出して加工し、   /usr/sbin/ccs-loadpolicy -d でポリシーに追加することができます。   CONFIG::learning={ max_entry=0 } を指定した場合の学習モードと確認モードの   違いは、アクセスログのヘッダ行に含まれるモードが mode=learning か   mode=permissive かだけとなります。 (3) TOMOYO を有効化するためのトリガをコンフィグで指定できるようにしました。   従来は、 TOMOYO の機能を有効化するためのパス名( /sbin/init または   /sbin/ccs-init )はハードコーディングされていました。しかし、 Android 環境   では /sbin/init が存在せず、 /sbin/ccs-init をデーモンプロセスの開始前に   実行させることも困難です。そのため、 /init の実行をトリガとして TOMOYO の   機能を有効化させるようにしました。   TOMOYO を有効化するための代替パス名(デフォルトでは /sbin/ccs-start )   および TOMOYO のポリシーをロードするプログラムのパス名(デフォルトでは   /sbin/ccs-init )をカーネルコンフィグで指定できるようにしました。   /sbin/init を持たない環境では /init や /linuxrc のような他のプログラムを   /sbin/ccs-init の代わりに指定することができます。 (4) path_group および number_group の読み出し時にクラッシュする不具合を修正しました。   path_group および number_group の読み出しは2重ループなのですが、ループを   抜ける処理が誤っていたため、 path_group または number_group の読み出しが   中断された場合にクラッシュしていました。 (5) 同じ address_group が追加された場合のメモリリークを修正しました。   同じ address_group が追加された場合にメモリを解放する処理が抜けていました。 (6) allow_env の if 節で argv[]/envp[] を参照した場合の処理結果がおかしくなる不具合を修正しました。   環境変数名のチェックと環境変数の値のチェックの両方に同じバッファが使われて   いたため、    allow_env PATH if exec.envp["PATH"]="/"   のような指定は正しく動作していませんでした。 (7) if 節が 255 バイトを超過した場合に反応がなくなったり比較結果が正しくなくなる不具合を修正しました。   リストの1要素が256バイト以上になることは無いだろうと思ってバイト数を   u8 で扱っていたため、複雑な if 節が指定されることで256バイト以上になって   しまった場合に、反応がなくなったり比較結果が正しくなくなる不具合を修正   しました。 (8) execute_handler または denied_execute_handler が失敗した場合のエラーコードを修正しました。   ccs_try_alt_exec() でメモリ割り当てに失敗した場合、 -ENOMEM を返すべき   ところが ENOMEM を返していたのを修正しました。  スナップショットは http://sourceforge.jp/projects/tomoyo/svn/view/trunk/1.7.x/ccs-patch.tar.gz?root=tomoyo&revision=3134&view=tar からダウンロードすることができます。  Ubuntu 9.10 のカーネルでは AppArmor と TOMOYO の両方が組み込まれています。 しかし、 TOMOYO 2.2.0 は実際のシステムに導入するには機能的に不十分である (例:アクセスログやネットワークの制御が無い)ため、 TOMOYO 1.7.x のバイナリ パッケージも提供します。上記のスナップショットを用いて作成された Ubuntu 9.10 用 カーネルパッケージは以下の場所からダウンロードできます。 http://tomoyo.sourceforge.jp/incoming/linux-image-2.6.31-14-ccs1.7.1-pre_2.6.31-14.48_i386.deb http://tomoyo.sourceforge.jp/incoming/linux-headers-2.6.31-14-ccs1.7.1-pre_2.6.31-14.48_i386.deb http://tomoyo.sourceforge.jp/incoming/linux-headers-2.6.31-14_2.6.31-14.48_all.deb http://tomoyo.sourceforge.jp/incoming/linux-libc-dev_2.6.31-14.48_i386.deb From from-tomoyo-users @ I-love.SAKURA.ne.jp Wed Nov 11 22:00:22 2009 From: from-tomoyo-users @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Wed, 11 Nov 2009 22:00:22 +0900 Subject: [Tomoyo-dev 1201] =?iso-2022-jp?b?VE9NT1lPIExpbnV4IDEuNy4xIBskQiRyJWolaiE8JTkbKEI=?= =?iso-2022-jp?b?GyRCJDckXiQ3JD8hIxsoQg==?= In-Reply-To: <200911032058.CBB90693.FPtNZTSPPVtTGNSUP@I-love.SAKURA.ne.jp> References: <200911032058.CBB90693.FPtNZTSPPVtTGNSUP@I-love.SAKURA.ne.jp> Message-ID: <200911112200.DCE43280.NSTtPPGPSTPZNFUtV@I-love.SAKURA.ne.jp>  熊猫さくらです。  TOMOYO Linux 1.7.1 をリリースしました。 ccs-patch-1.7.1-20091111.tar.gz MD5:1111c8e7697a3cf5008dedefd3b89c85 ccs-tools-1.7.1-20091111.tar.gz MD5:7777bc0efdfa0659a90fbeab4dd73635                   (↑今回は4周年記念ということで、                    先頭4文字を同じにしてみました。) カーネル 2.6.32-rc6 に対応した他、 Ubuntu 9.10 / Fedora 12 / OpenSuSE 11.2 / Vine Linux 5.0 などに対応しています。 主な変更点は [tomoyo-users 669] で説明済みですが、ディレクトリを再帰的に指定 できるようになったのが大きいです。また、 Android などの組み込み環境で使いやすく するための修正も行われています。 カーネル側の不具合はほとんど解消されたと思いますので、 TOMOYO 1.7 用のバイナリパッケージの提供を http://sourceforge.jp/projects/tomoyo/releases/?package_id=10270 で始めたいと 思います。 今まで Ubuntu の Live CD は 8.04 で作っていましたが、パッケージ競合の問題を 解消できたので今後は Ubuntu 9.10 でも良いかなと思います。 ということで、 Live CD の作成をお願いします。> LiveCD の中の人 ↓えっ、大道寺知世ちゃん?でしたら、 Location は友枝町にしません?> haradats さん http://twitter.com/tomoyo_linux さて、 TOMOYO 1.7.1 の内容を元に TOMOYO 2.3 を再開していくわけですが、どこから 始めたらよいのやら・・・? From from-tomoyo-users @ I-love.SAKURA.ne.jp Sun Nov 15 17:43:45 2009 From: from-tomoyo-users @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Sun, 15 Nov 2009 17:43:45 +0900 Subject: [Tomoyo-dev 1202] =?iso-2022-jp?b?VWJ1bnR1IDkuMTAgKyBUT01PWU8gTGludXggMS43LjEgTGl2?= =?iso-2022-jp?b?ZUNEIBskQiRyOHgzKyQ3JF4kNyQ/GyhC?= Message-ID: <200911151743.AID34840.FSNtPNPGVPTZtPUST@I-love.SAKURA.ne.jp>  熊猫です。 初版できました。以下の場所からダウンロードできます。 http://tomoyo.sourceforge.jp/incoming/ubuntu-9.10-desktop-i386-tomoyo-1.7.1.iso MD5: 69fac2c3bf5c03daf90d3deefaef2ab6   Size: 722,372,608 最新版にアップデートして TOMOYO のツールとチュートリアルを追加しているのに、 オリジナルの ISO ファイルよりも小さくなるという不思議な結果になりました。 そのため、この LiveCD ではアプリケーションの削除はしていません。 チュートリアルは http://tomoyo.sourceforge.jp/1.7/1st-step/ubuntu9.10-live/ にもあります。 この LiveCD ではメモリ上に TOMOYO Linux のアクセスログが蓄積されていくため、 途中でメモリ不足に陥ってシステムの応答がなくなる可能性があります。 この LiveCD からハードディスクにインストールする(あるいはこの LiveCD から ハードディスクにアクセスする)場合には、全てのドメインのアクセス制御を 無効モードにしてから実行することをお勧めします。 LiveCD では ccs-auditd の出力先をメモリ上のファイルシステムである /var/log/tomoyo/ ではなく FIFO にした方が良いのかもしれませんね。 あるいは、ファイルサイズが10MBを超えたら直ちに削除するとか。 From from-tomoyo-users @ I-love.SAKURA.ne.jp Mon Nov 16 23:31:47 2009 From: from-tomoyo-users @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Mon, 16 Nov 2009 23:31:47 +0900 Subject: [Tomoyo-dev 1203] =?iso-2022-jp?b?Q2VudE9TIDUuNCArIFRPTU9ZTyBMaW51eCAxLjcuMSBMaXZl?= =?iso-2022-jp?b?Q0QgGyRCJHI4eDMrJDckXiQ3JD8bKEI=?= Message-ID: <200911162331.AHC60468.tPZFSTPTtPNUPVGNS@I-love.SAKURA.ne.jp>  熊猫です。 初版できました。以下の場所からダウンロードできます。 http://tomoyo.sourceforge.jp/incoming/CentOS-5.4-i386-TOMOYO-1.7.1-LiveCD.iso MD5: 2ba732c6520b0f31984d3f57227c61e3   Size: 731,539,456 最新版にアップデートして TOMOYO のツールとチュートリアルを追加した結果 約8MB大きくなりましたが、オリジナルの ISO ファイルが小さめに作られていたので CD−Rの容量に収まりました。 そのため、この LiveCD ではアプリケーションの削除はしていません。 チュートリアルは http://tomoyo.sourceforge.jp/1.7/1st-step/centos5-live/ にもあります。 SELinux により getattr が拒否されたというメッセージが dmesg に出るようですが、 動作上の問題は無いと思います。 Ubuntu 版、 CentOS 版ともに、チュートリアル末尾の情報源 「 TOMOYO Linux ポリシー解説書」「ポリシーエディタの使い方」のリンク先を http://tomoyo.sourceforge.jp/1.7/ に修正していなかったのでデッドリンクに なっています。そのうちカーネルのアップデートが発生するでしょうから、 その時に修正しようと思います。他にも不具合などありましたら修正しますので お知らせください。