Tetsuo Handa
from-****@I-lov*****
2011年 6月 6日 (月) 21:20:50 JST
Mauras Olivier さんが TOMOYO を LXC 環境で使う上での困難さについて報告して くれました。 LXC 環境は pivot_root() を用いて作成されるため、 TOMOYO は LXC 環境の中と外とを区別することができないことが原因です。 この問題に対処するために、 tomoyo-dev-en MLにてポリシー名前空間のサポートに ついての議論が行われ、仕様と実装が完成しました。 http://tomoyo.sourceforge.jp/1.8/chapter-15.html ポリシー名前空間は元々は TOMOYO を LXC 環境で使用するために設計されましたが、 LXC 環境を使用していなくても役に立つことでしょう。それぞれのポリシー名前空間は、 独立したドメインポリシー、例外ポリシー、プロファイルのセットを持っています。 ある名前空間が持つセットは他の名前空間が持つセットとは独立しています。この 独立性により、あなた(および特定のアプリケーション向けのポリシーを作成して配布 したい人)は、他の名前空間との干渉を心配することなくポリシーファイルを作成する ことが可能になります。そのため、 TOMOYO を AppArmor のように使うことができる ようになると考えています。 TOMOYO 1.8.2-pre 用のパッチはカーネルソースディレクトリから wget -O - 'http://sourceforge.jp/projects/tomoyo/svn/view/trunk/1.8.x/ccs-patch.tar.gz?root=tomoyo&view=tar' | tar -zxf - --strip 1 を実行することでダウンロードできます。また、 TOMOYO 1.8.2-pre 用のツールは wget -O - 'http://sourceforge.jp/projects/tomoyo/svn/view/trunk/1.8.x/ccs-tools/ccstools.tar.gz?root=tomoyo&view=tar' | tar -zxf - を実行することでダウンロードできます。 次回 TOMOYO 2.4 を提案するときにポリシー名前空間を含めたいと思っています。 どうぞ試して、問題点を報告してください。