From from-tomoyo-dev @ I-love.SAKURA.ne.jp Wed Dec 1 23:30:30 2010 From: from-tomoyo-dev @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Wed, 1 Dec 2010 23:30:30 +0900 Subject: [Tomoyo-dev 1270] =?iso-2022-jp?b?VVVJRDogGyRCJTclcyVXJWskSiVXJW0lOyU5M1ZOJSViGyhC?= =?iso-2022-jp?b?GyRCJTglZSE8JWsbKEI=?= In-Reply-To: References: Message-ID: <201012012330.DCG18276.WEPUttZPPPGNFSN@I-love.SAKURA.ne.jp> Toshiharu Harada さんは書きました: > 今、半田さんとクラウドというかサーバ仮想化の > セキュリティ対策の検討をしているのですが、そちらの > 作業でもこのakariが大活躍しています。本当に便利です。 > 一人でも多くの方に活用して欲しいと思います。 ・・・ということで、サーバ仮想化のセキュリティ対策の一例として、 qemu-kvm プロセス同士を隔離するのに使えるのではないかと思って作ってみました。 http://sourceforge.jp/projects/tomoyo/lists/archive/dev-en/2010-December/000023.html チェックすべき範囲やアクセス可否の判断基準、 面白い用途などあればコメントください。 From from-tomoyo-dev @ I-love.SAKURA.ne.jp Tue Dec 14 21:16:16 2010 From: from-tomoyo-dev @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Tue, 14 Dec 2010 21:16:16 +0900 Subject: [Tomoyo-dev 1271] Re: vfsmount_lock In-Reply-To: <201007070700.o6770d99003286@www262.sakura.ne.jp> References: <201007070700.o6770d99003286@www262.sakura.ne.jp> Message-ID: <201012142116.CHJ00075.SUFPNPPtWEPtZGN@I-love.SAKURA.ne.jp> Tetsuo Handa さんは書きました: > Seiji Munetoh wrote: > > ファイルのパスを取得する際に d_path() を使うと思いますが、 > > vfsmount_lockによる性能への影響ってどのくらいあるものなのでしょうか? > > d_path() を呼ぶときには dcache_lock と vfsmount_lock の両方のスピンロックを > 取得することになります。昔はハードウェアキャッシュの影響というのを知らず、 > 実際にロックの競合が発生したときに待たされる時間をいかに小さくするかだけが > 問題なのだと思っていたので、2CPUとか4CPU程度では dcache_lock / > vfsmount_lock ロックの競合が発生することなんて滅多に起こらないだろうと熊猫は > 考えていました。でも、ロックの競合が発生しなくても、ロックを取得/解放する時に > 必要になるメモリバリア命令によりメモリに対する読み書き処理が待たされる > ことによる影響をいかに小さくするかという問題もあるようですね。 > > VFS scalability というパッチの提案( http://lwn.net/Articles/360199/ > )が > 続いているので、そのうち vfsmount_lock が不要になる日が来るのかも。 > > http://sourceforge.jp/projects/tomoyo/lists/archive/dev/2009-October/001251.html > http://lkml.org/lkml/2010/6/23/379 > 2.6.36 で vfsmount_lock スピンロックは local/global locks (lglocks) に置き換えられました。 http://git.kernel.org/?p=linux/kernel/git/next/linux-next.git;a=commit;h=99b7db7b8ffd6bb755eb0a175596421a0b581cb2 2.6.37 では dcache_lock スピンロックが呼び出し元から呼び出し先に移動されました。 http://git.kernel.org/?p=linux/kernel/git/next/linux-next.git;a=commit;h=be148247cfbe2422f5709e77d9c3e10b8a6394da 今日、 dcache_lock スピンロックを追放する vfs-scale tree が linux-next にマージされました。 http://git.kernel.org/?p=linux/kernel/git/next/linux-next.git;a=commit;h=9c47e69b93264b363ecd650fa366e06dfb215f88 問題が無ければ 2.6.38 では dcache_lock スピンロックも消滅し、 パス名導出時のロックの競合がほとんど発生しない状況になります。 P.S. tomoyo-dev-en ML では ccs-auditd および ccs-patternize に関する議論が行われています。 既に ccs-auditd のフィルタリング機能が実装されました。 revision 4194 で試すことができます。 From yocto1 @ gmail.com Sun Dec 19 01:41:21 2010 From: yocto1 @ gmail.com (yocto) Date: Sun, 19 Dec 2010 01:41:21 +0900 Subject: [Tomoyo-dev 1272] Gui Policy Editor for TOMOYO Linux 0.1 Message-ID: <4d0ce437.0bb38e0a.6778.67c9@mx.google.com> お久しぶりです、クスノです。 GUIのポリシーエディタを作ってみました。 1年半程作りかけでほってあったのですが、ひと通り最低限の機能が出来 たので、リリースしてみました。 http://sourceforge.jp/projects/gpet/ ソースコード http://sourceforge.jp/projects/gpet/downloads/50235/gpet-0.1.tar.bz2/ バイナリパッケージ http://sourceforge.jp/projects/gpet/downloads/50235/gpet_0.1-1_i386.deb/ リポジトリはgitにしてみました。 基本的にccs-editpolicyのUIをGTK+で作っただけなので、使用方法はほと んど同じです。(ファイルの入出力はccs-editpolicyをそのまま使用して ます) 前提として ・TOMOYO Linux 1.8 のカーネルとccstoolsがインストール済みの Ubuntu 10.10 で動作します。 GNOMEが動いていればUbuntu 10.10以外でも動く気はしますが、未確認で す。 ccs-editpolicyの「パターン化支援機能」以外のオンラインモードは大体 実装しています。 ネットワークモードとリフレッシュモード、リードオンリーモードは動か ないと思います。 その他sortが違うとか検索がインクリメンタルサーチしか無い等の細かな 違いはあります。 マネージャとメモリ使用量画面にはボタン等を付けていませんが、右クリ ックでメニューが出ます。 バグ報告お待ちしています。 #1月以降、時間が取れなくなる可能性があるので気長にお願いします。 From from-tomoyo-dev @ I-love.SAKURA.ne.jp Mon Dec 20 00:16:44 2010 From: from-tomoyo-dev @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Mon, 20 Dec 2010 00:16:44 +0900 Subject: [Tomoyo-dev 1273] Re: Gui Policy Editor for TOMOYO Linux 0.1 In-Reply-To: <4d0ce437.0bb38e0a.6778.67c9@mx.google.com> References: <4d0ce437.0bb38e0a.6778.67c9@mx.google.com> Message-ID: <201012200016.AHC57810.PZNFEUtPGNPtPSW@I-love.SAKURA.ne.jp>  kumaneko san で〜す。(謎) yocto さんは書きました: > お久しぶりです、クスノです。 > > GUIのポリシーエディタを作ってみました。 おぉ、ありがとうございます。翻訳して tomoyo-dev-en に転送してもいいですか? (それとも、テスト期間が欲しいですか?) > 前提として > ・TOMOYO Linux 1.8 のカーネルとccstoolsがインストール済みの > Ubuntu 10.10 > で動作します。 > GNOMEが動いていればUbuntu 10.10以外でも動く気はしますが、未確認で > す。 > > ccs-editpolicyの「パターン化支援機能」以外のオンラインモードは大体 > 実装しています。 > ネットワークモードとリフレッシュモード、リードオンリーモードは動か > ないと思います。 > その他sortが違うとか検索がインクリメンタルサーチしか無い等の細かな > 違いはあります。 > ちょうど今、 /etc/ccs/ 以下のファイル配置について変更を行いました。(^^; /usr/lib/ccs/ccstools.conf は /etc/ccs/tools/ 以下の editpolicy.conf auditd.conf patternize.conf という3つに分割され、 /etc/ccs/ 直下にあったポリシーファイルは /etc/ccs/policy/時刻/ 以下に 移動されました(互換性のために /etc/ccs/ 直下からシンボリックリンクを 張っています)。 From yocto1 @ gmail.com Mon Dec 20 01:09:20 2010 From: yocto1 @ gmail.com (yocto) Date: Mon, 20 Dec 2010 01:09:20 +0900 Subject: [Tomoyo-dev 1274] Re: Gui Policy Editor for TOMOYO Linux 0.1 In-Reply-To: <201012200016.AHC57810.PZNFEUtPGNPtPSW@I-love.SAKURA.ne.jp> References: <4d0ce437.0bb38e0a.6778.67c9@mx.google.com> <201012200016.AHC57810.PZNFEUtPGNPtPSW@I-love.SAKURA.ne.jp> Message-ID: <4d0e2e39.0e958e0a.6b97.ffff9cd8@mx.google.com> クスノです。 Tetsuo Handa wrote: >  kumaneko san で〜す。(謎) > > yocto さんは書きました: > > お久しぶりです、クスノです。 > > > > GUIのポリシーエディタを作ってみました。 > > おぉ、ありがとうございます。翻訳して tomoyo-dev-en に転送してもいいですか? > (それとも、テスト期間が欲しいですか?) ずっとテスト期間のような気もするので、転送してもらって構いません^^; tomoyo-dev-enは一応見てますが、英語が出来ないのが一番の問題 > > 前提として > > ・TOMOYO Linux 1.8 のカーネルとccstoolsがインストール済みの > > Ubuntu 10.10 > > で動作します。 > > GNOMEが動いていればUbuntu 10.10以外でも動く気はしますが、未確認で > > す。 > > > > ccs-editpolicyの「パターン化支援機能」以外のオンラインモードは大体 > > 実装しています。 > > ネットワークモードとリフレッシュモード、リードオンリーモードは動か > > ないと思います。 > > その他sortが違うとか検索がインクリメンタルサーチしか無い等の細かな > > 違いはあります。 > > > ちょうど今、 /etc/ccs/ 以下のファイル配置について変更を行いました。(^^; > /usr/lib/ccs/ccstools.conf は /etc/ccs/tools/ 以下の > editpolicy.conf auditd.conf patternize.conf という3つに分割され、 > /etc/ccs/ 直下にあったポリシーファイルは /etc/ccs/policy/時刻/ 以下に > 移動されました(互換性のために /etc/ccs/ 直下からシンボリックリンクを > 張っています)。 svn commit [4211]を見る前にリリースしといて良かったと思ってます。 ただ、追随はそんなに大変じゃないように出来るだけそのまま使用してる ので大丈夫でしょう... メインライン版対応はしばらく出来そうにないですが。 あとカーネルのバイナリパッケージはもうリリースしないのでしょうか? 環境作るのが大変で(^^ゞ From from-tomoyo-dev @ I-love.SAKURA.ne.jp Mon Dec 20 11:00:07 2010 From: from-tomoyo-dev @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Mon, 20 Dec 2010 11:00:07 +0900 Subject: [Tomoyo-dev 1275] Re: Gui Policy Editor for TOMOYO Linux 0.1 In-Reply-To: <4d0e2e39.0e958e0a.6b97.ffff9cd8@mx.google.com> References: <4d0ce437.0bb38e0a.6778.67c9@mx.google.com> <201012200016.AHC57810.PZNFEUtPGNPtPSW@I-love.SAKURA.ne.jp> <4d0e2e39.0e958e0a.6b97.ffff9cd8@mx.google.com> Message-ID: <201012200200.oBK208i5028701@www262.sakura.ne.jp> yocto さんは書きました: > ずっとテスト期間のような気もするので、転送してもらって構いません^^; 転送しました。 > svn commit [4211]を見る前にリリースしといて良かったと思ってます。 > ただ、追随はそんなに大変じゃないように出来るだけそのまま使用してる > ので大丈夫でしょう... はい。オフラインモードを実装していないとのことですので、 /etc/ccs/ 以下の 変更の影響は無いはずです。 /usr/lib/ccs/ccstools.conf を参照している場合は /etc/ccs/tools/editpolicy.conf を参照するように修正すればOKかと思います。 > あとカーネルのバイナリパッケージはもうリリースしないのでしょうか? > 環境作るのが大変で(^^ゞ すみません。ドキュメント類の整備が終わってからリリースしようと思っています。 現在はドキュメントの整備と ccs-tools のチューニング中なので、 トップページからのリンクは 1.7 のままになっています。 Jamie Nguyen さんが英語ページの proofreading を申し出てくれましたので お願いしました。 それから、そろそろ x86_64 な環境が多くなってきたので、 TOMOYO 1.8 の バイナリパッケージは i686 用ではなく x86_64 用で作成しようと考えています。 From yocto1 @ gmail.com Wed Dec 22 00:01:33 2010 From: yocto1 @ gmail.com (yocto) Date: Wed, 22 Dec 2010 00:01:33 +0900 Subject: [Tomoyo-dev 1276] Re: Gui Policy Editor for TOMOYO Linux 0.1 In-Reply-To: <201012200200.oBK208i5028701@www262.sakura.ne.jp> References: <201012200016.AHC57810.PZNFEUtPGNPtPSW@I-love.SAKURA.ne.jp> <4d0e2e39.0e958e0a.6b97.ffff9cd8@mx.google.com> <201012200200.oBK208i5028701@www262.sakura.ne.jp> Message-ID: <4d10c153.0ecf8e0a.7721.2f9b@mx.google.com> クスノです。 Tetsuo Handa wrote: > yocto さんは書きました: > > ずっとテスト期間のような気もするので、転送してもらって構いません^^; > 転送しました。 ありがとうございます > > svn commit [4211]を見る前にリリースしといて良かったと思ってます。 > > ただ、追随はそんなに大変じゃないように出来るだけそのまま使用してる > > ので大丈夫でしょう... > はい。オフラインモードを実装していないとのことですので、 /etc/ccs/ 以下の > 変更の影響は無いはずです。 /usr/lib/ccs/ccstools.conf を参照している場合は > /etc/ccs/tools/editpolicy.conf を参照するように修正すればOKかと思います。 > > > あとカーネルのバイナリパッケージはもうリリースしないのでしょうか? > > 環境作るのが大変で(^^ゞ > すみません。ドキュメント類の整備が終わってからリリースしようと思っています。 > > 現在はドキュメントの整備と ccs-tools のチューニング中なので、 > トップページからのリンクは 1.7 のままになっています。 > > Jamie Nguyen さんが英語ページの proofreading を申し出てくれましたので > お願いしました。 > > それから、そろそろ x86_64 な環境が多くなってきたので、 TOMOYO 1.8 の > バイナリパッケージは i686 用ではなく x86_64 用で作成しようと考えています。 そ、そうなんですね(T_T) 64bit環境ありましぇ〜ん From from-tomoyo-users @ I-love.SAKURA.ne.jp Fri Dec 31 20:09:43 2010 From: from-tomoyo-users @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Fri, 31 Dec 2010 20:09:43 +0900 Subject: [Tomoyo-dev 1277] =?iso-2022-jp?b?MS44LjBwMSAbJEIkTiVRJUMlQSRyJWolVSVsJUMlNyVlGyhC?= =?iso-2022-jp?b?GyRCJDckXiQ3JD8hIxsoQg==?= Message-ID: <201012312009.EIC43286.TStPPGVtZUPTNNSPF@I-love.SAKURA.ne.jp>  tomoyo-dev-en に Jamie Nguyen さんというパワーユーザが登場し、主にアクセス ログの仕様について議論が行われました。 1.8.0 のリリース後に互換性の無い変更を 加えることになってしまって申し訳ないのですが、使いやすくするために仕様を一部 変更させていただきました。  http://sourceforge.jp/frs/redir.php?f=/tomoyo/49684/ccs-patch-1.8.0-20101231.tar.gz  http://sourceforge.jp/frs/redir.php?f=/tomoyo/49684/ccs-patch-1.8.0-20101231.tar.gz.asc  http://sourceforge.jp/frs/redir.php?f=/tomoyo/49693/ccs-tools-1.8.0-20101231.tar.gz  http://sourceforge.jp/frs/redir.php?f=/tomoyo/49693/ccs-tools-1.8.0-20101231.tar.gz.asc カーネルパッチに関して  アクセスログを読み出すためのインタフェースである /proc/ccs/grant_log および  /proc/ccs/reject_log を /proc/ccs/audit に統合し、アクセスログのヘッダ行に  granted=yes または granted=no を埋め込むようにしました。  /proc/ccs/profile での max_grant_log= および max_reject_log= パラメータは  max_audit_log= パラメータに名称変更されました。  カーネル 2.6.38 への対応を追加しました。 ツールに関して  ポリシーファイルの保存場所が /etc/ccs/ ディレクトリ直下から  /etc/ccs/policy/YY-MM-DD.hh:mm:ss/ ディレクトリへと移動しました。  最新のポリシーファイルを指すシンボリックリンクである /etc/ccs/policy/current  と、1つ前のポリシーファイルを指すシンボリックリンクである  /etc/ccs/policy/current/previous を作成するようにしました。これにより、  バックアップをロードしたい場合にはシンボリックリンクを切り替えるだけで  済むようになりました。  互換性のために、 /etc/ccs/ ディレクトリ直下には /etc/ccs/policy/current/  ディレクトリにあるポリシーファイルを参照する domain_policy.conf  exception_policy.conf profile.conf manager.conf というシンボリックリンクが  用意されています。  ccs-tools パッケージに含まれているコマンドが使用する設定ファイルは  /usr/lib/ccs/ccstools.conf から /etc/ccs/tools/ ディレクトリ直下へと  移動しました。現時点では editpolicy.conf auditd.conf patternize.conf  notifyd.conf の4個が作成されます。  今までコマンドラインで指定していたパラメータの多くは設定ファイルで  指定するように変更されました。そのため、サポートされるコマンドライン  オプションが変更されていますのでご注意ください。  /usr/sbin/ccs-patternize に関して   TOMOYO 1.8 ではカーネル内で file_pattern キーワードのサポートを   除去しました。これは、ユーザ空間でも行うことが可能な処理である上、   ユーザ空間で行う方が柔軟な指定が可能であるためです。   今回の仕様変更により、特定のドメイン以下だけを対象にパターン化を   行ったり、特定のディレクティブだけを対象にパターン化を行ったり   することができるようになりました。   構文については /etc/ccs/tools/patternize.conf を参照してください。  /usr/sbin/ccs-auditd に関して   今までは ccs-auditd にはフィルタリング機能が存在しなかったため、   全てのアクセスログを一度ファイルに保存してから抽出する必要がありました。   今回の仕様変更により、アクセスログのヘッダ行、ドメイン行、ACL行に   含まれている文字列に対して fgrep 相当のフィルタリング機能が追加されました。   そのため、プロファイル番号ごとにアクセスログを分離したり、   特定のドメイン以下のアクセスログを別ファイルに保存したりすることが   できるようになりました。   構文については /etc/ccs/tools/auditd.conf を参照してください。   なお、アクセスログの読み出し口が /proc/ccs/audit に変更されているため、   カーネルパッチと一緒にアップデートしないと動作しませんのでご了承ください。  /usr/sbin/ccs-editpolicy に関して   設定ファイルとして /usr/lib/ccs/ccstools.conf ではなく   /etc/ccs/tools/editpolicy.conf を使うように変更されました。   メモリ使用状況を読み出すためのインタフェースである /proc/ccs/meminfo   ではなく、メモリ使用状況およびポリシー違反の発生状況の両方を読み出すための   インタフェースである /proc/ccs/stat を使用するように変更されました。  /usr/sbin/ccs-diffpolicy に関して   ドメインポリシーの差分を計算するためのツールです。 ccs-patternize により   どのようにパターン化が行われたのかを確認するために利用してください。  /usr/sbin/ccs-savepolicy に関して   /etc/ccs/policy/YY-MM-DD.hh:mm:ss/ の導入に伴い、それぞれのディレクトリが   完全なスナップショットを保持するようにするために、常に domain_policy.conf   exception_policy.conf manager.conf profile.conf の4種類のポリシーファイルを   保存するように変更されました。  /usr/sbin/ccs-loadpolicy に関して   構文を単純にするために、常に標準入力からポリシーを読み込むように変更   されました。それに伴い、1回の実行で1種類のポリシーファイルしかロード   できなくなりました。  /usr/sbin/ccs-notifyd に関して   デーモンとして動作するように変更されました。そのため、 /etc/crontab から   定期的に実行する必要は無くなりました。   コマンドの場所が /usr/lib/ccs/ ディレクトリから /usr/sbin/ ディレクトリ   へと移動しました。   構文については /etc/ccs/tools/notifyd.conf を参照してください。  /usr/lib/ccs/init_policy に関して   ポリシーを /etc/ccs/policy/YY-MM-DD.hh:mm:ss/ ディレクトリに作成するように   変更しました。   ccs-tools パッケージに含まれているコマンドが使用するための設定ファイルを   /etc/ccs/tools/ ディレクトリに作成するようにしました。   全てのパス名に一致する ANY_PATHNAME グループ、全てのディレクトリに一致する   ANY_DIRECTORY グループ、 IOCTL リクエストで日常的に使われている 0x5401 に   一致する COMMON_IOCTL_CMDS グループを定義するようにしました。  /usr/lib/ccs/convert-audit-log に関して   use_group 行の取り扱いミスを修正しました。 ccs-patternize の仕様については現在も議論が続いています。どのような構文が サポートされていると便利かなどのフィードバックやバグレポートなどを お待ちしています。 P.S. AKARI 1.0.6 もアップデートされています。  http://sourceforge.jp/frs/redir.php?f=/akari/49272/akari-1.0.6-20101231.tar.gz  http://sourceforge.jp/frs/redir.php?f=/akari/49272/akari-1.0.6-20101231.tar.gz.asc