[tomoyo-users 860] no_keep_domain

Back to archive index

早間義博 yossi****@yedo*****
2011年 6月 4日 (土) 11:46:45 JST


早間です。
環境
 kernel linux-2.6.38-gentoo-r1 と linux-2.6.38-gentoo-r6
 なお、いずれも[tomoyo-users 813] のパッチ無し
 tomoyo tomoyo-tools-2.3.0_p20110511

(1) ワイルドカートドメインの影響
keep_domain       <kernel> /usr/bin/xterm
no_keep_domain    <kernel> /usr/bin/kterm /usr/bin/emerge

指定しても
<kernel> /usr/bin/xterm
..
allow_execute    /usr/bin/\*
allow_execute    /usr/bin/emerge
..

と <kernel> /usr/bin/xterm に当該コマンドを包含するワイルドカート
があるとワイルドカートが優先され
 no_keep_domain    <kernel> /usr/bin/kterm /usr/bin/emerge
が機能しません。
現在は対策として
 ・ allow_execute    /usr/bin/\* を削除する
 ・ aggregator /usr/bin/emerge /usr/bin/portage/emerge のように
    aggregator によってワイルドカートから逃げる。
方法を思いつきましたが、他に方法はあるのでしょうか。
ワイルドカートがあっても個別の allow_execute がある場合個別の
allow_execute を優先して個別のドメイン対策
 ・ 下位ドメインの作成
 ・ no_keep_domain
を実施すると言うことは出来ないのでしょうか。

(2) initialize_domain が無いとkeep_domain から脱出(?)出来ない。
    上記(1)と同じ条件ですが、
    domain_policy.conf に
    initialize_domain /usr/bin/emerge
    が無い場合、keep_domain で指定されたドメインから抜けて新しいド
    メイン  <kernel> /usr/bin/kterm /usr/bin/emerge
    が作成されません。

-- 早間




tomoyo-users メーリングリストの案内
Back to archive index