OSDN -- Desenvolver e Download de Software Open Source
Estado tradução de Português translation status for pt

[tomoyo-users 822] Re: 突然 glibc の lib 要求

Back to archive index

Toshiharu Harada harad****@nttda*****
2011年 5月 23日 (月) 10:25:22 JST 

(2011/05/23 9:03), 早間義博 wrote:
> 早間です。
> ありがとうございます。
> 収束しました。
>>
>> glibc パッケージのアップデートによりファイルのパス名が
>> /lib/libc-2.12.1.so → /lib/libc-2.12.2.so のように
>> 変化したのではないでしょうか?
>>
> 
> そのとおりです。
> 
>>> すべてが 6 ライブラリ全部を要求しているわけではありませんが
>>> WARNING を起こした全コマンドに
>>>   		allow_read /lib/\*
>>> を入れました。
>>
>> コマンドに対してではなく例外ポリシーに対して追加するのが良いと思います。
>> tomoyo-ld-watch コマンドを実行すると自動的に反映してくれます。

tomoyo-ld-watchのオンラインマニュアルはここですね。
http://tomoyo.sourceforge.jp/2.3/man-pages/tomoyo-ld-watch.html.en

読みながら思ったのですが、libcなどの影響度の高いモジュールの
更新がある場合には、tomoyo-ld-watchを実行して、
自動的に修正させるという以外に、ポリシー設定を一度待避しておいて、
更新後の環境でinit_policyを実行させ、例外ポリシーの差分を
手動で反映させる、というような手順は意味がありますでしょうか?>半田さん
(結果としては同じになるかもしれませんが、自分で確認してから
手動で反映させたいという人がいた場合に)

> ドキュメントを読んでいなかったので、無駄な作業をしました。
> /etc/tomoyo/domain_policy.conf のトラブルのドメインに対し、perl で強制的に
>    allow_read /lib/\*
> を書き加えていました。
> またまた、無駄のことをしたかもしれませんが、上記
>   allow_read /lib/\*
> を削除し(grep -v 比較的労力が少ない)、
>   /etc/tomoyo/exception_policy.conf に
>   allow_read /lib/\*
> を加えました。
> 
> # perl が  /usr/bin/perl5.12.3 として allow_execute に書き込まれて
> # いますし、ドメインも /usr/bin/perl5.12.3 で作成されています。
> #     /usr/bin/perl ->  perl5.12.3
> # これは更新時には手作業ですか。
> 
>>> また、殆ど同じ(アプリケーションと付随してライブラリが多い)機械では
>>> このような現象は起きていません。
>>
>> その現象の発生していないマシンと発生しているマシンとで
>> glibc パッケージに含まれているファイルのパス名を比較してみてください。
>> あるいは、その現象の発生しているマシンの例外ポリシーの allow_read に
>> 指定されているパス名と、その現象の発生しているマシンの実際のパス名とを
>> 比較してみてください。
>>
> 
> 「現象の発生していないマシン」は
>     allow_read /lib/\*
> # あるいは
> #    allow_read        /lib32/\*
> #    allow_read        /lib64/\*
> #    allow_read        /lib64/\{\*\}/\*
> がありました。
> 「現象の発生しているマシン」には個別に
>     allow_read /lib/・・・
> と指定されていました。とりあえず、
>    allow_read /lib/\*
> に修正しました。
> 
> tomoyo については 1.7 1.8 も使用しましたし、色々変更したのですが問題の
> 起きたマシンは最初に手がけたマシンで、このマシンで tomoyo が自分で
> も設定できると判断して他のマシンの設定を始めました。
> そんなこんなで他と違っていたのかもしれません。
> 例外ポリシーの使用方法が未熟なのでかなりの作業が発生しています。

TOMOYOは、ポリシー初期化ツールで「これはないといけないだろう」という
部分を例外ポリシーとして作成してくれるので、そこにないものを
(ドメイン毎に)定義すれば良いですが、例外ポリシーの中には、
実際には必要としないものもあるかもしれませんし、例外ではなく、
ドメインごとに定義したいものもあるかもしれません。
手順 3.3 の後で、例外ポリシーの内容に目を通してみると良いかもしれませんね。
http://tomoyo.sourceforge.jp/2.3/chapter-3.html.ja

-- 
原田季栄 (Toshiharu Harada)
harad****@nttda*****


tomoyo-users メーリングリストの案内
Back to archive index