[tomoyo-users 989] TOMOYO/AKARI/CaitSith 開発の再開について

Back to archive index

Tetsuo Handa from-****@I-lov*****
2015年 4月 21日 (火) 23:14:17 JST


 熊猫です。

熊猫と原田さんは、2012年4月から2015年3月までの3年間、NTT
オープンソースソフトウェアセンタで RHEL システムのトラブルシューティングに
従事してきました。熊猫は主に Linux カーネルに起因したトラブル、特にカーネル
パニックや予期せぬ再起動/フリーズなどを扱ってきました。熊猫は TOMOYO や
AKARI や CaitSith の開発を通じてカーネル開発の経験があったので、カーネルの
不具合事象を再現させたり、情報を収集したりするための、ちょっとしたプログラムを
いろいろと作成しました。その経験は
http://www.intellilink.co.jp/article/column/oss/index.htmlhttp://kumaneko-sakura.sblo.jp/category/34567-1.html に纏められています。

今月から私たちはNTTデータ先端技術株式会社で働いており、OSSの
セキュリティに関する何かに従事する予定です。毎日ずっと締切に追われ続ける
ことによるストレスから解放されたので、熊猫は TOMOYO や AKARI や CaitSith の
開発を再開することができました。

そして今日、ポリシーエディタの使い勝手向上といくつかの不具合修正を含んだ、
ccs-patch 1.8.3p10 と ccs-tools 1.8.3p9 をアップロードしました。

  (1) 最適化コマンドである o キーが、今までは Domain Policy Editor 画面の
      use_group 行に対しては機能していませんでしたが、その番号で参照される
      acl_group に含まれている各行に対して o キーを繰り返したかのように
      動作するようになりました。

  (2) (説明されていませんでしたが) TAB キーが、今までは Exception Policy
      Editor 画面と Domain Transition Editor 画面との間を切り替えるように
      なっていましたが、例えば Exception Policy Editor 画面から Domain Policy
      Editor 画面へのように、直前の画面へと切り替えるように変更されました。

  (3) o キーが、今までは task.uid=0 などの条件が付いたエントリに対しては機能
      していませんでしたが、条件が付いていないエントリに対して o キーを押すと
      条件が付いた同じエントリが選択されるようになりました。

これらの変更は、最適化コマンドを使用する際のキー入力の量を削減するのに
役立つと考えます。

また、複数の acl_group を参照できるようにするための(現在の trunk/1.8.x/ に
対する)差分パッチが
http://sourceforge.jp/projects/tomoyo/scm/svn/blobs/6407/branches/diff-1.8.4.txt
にあります。現状では各ドメインは1個しか use_group 行を指定できませんが、
このパッチを適用すると256個まで use_group 行を指定できるようになります。
これにより、用途ごとに acl_group を定義し、ドメインから複数指定することにより、
ポリシーの重複を削減することができるようになります。このパッチを適用後の
ドメインポリシーは以下のような感じになります。

  <kernel> /path/to/app1
  use_profile 3
  use_group 0
  use_group 1
  file read /path/to/file1
  file write /path/to/file1

  <kernel> /path/to/app2
  use_profile 3
  use_group 0
  use_group 2
  use_group 3
  file read /path/to/file2

  <kernel> /path/to/app3
  use_profile 3
  use_group 0
  use_group 4
  file execute /path/to/file3

番号ではなく名前で acl_group を指定できるようにすることを考えていたのですが、
プロファイル番号と同様、コード量を削減するために番号で指定する方法に
なっています。

TOMOYO 1.8.x 内での互換性の理由から、ホワイトリスト方式のみの対応となって
います。もし、ブラックリスト方式が必要なのであれば、 CaitSith の方が
適しているかもしれません。

上述した内容で要望に沿えるのであれば、これを TOMOYO 1.8.4 としてリリース
したいと考えます。




tomoyo-users メーリングリストの案内
Back to archive index