Tetsuo Handa
from-****@I-lov*****
2008年 6月 4日 (水) 21:47:19 JST
熊猫です。 > Linuxのセキュリティ=SELinuxとなっているので > TOMOYOだけでなくAppAmor等も知名度を上げていかないといけないですね。 ラベルベースのアクセス制御を行うことだけがセキュリティという訳ではないです。 パス名も制限しなければいけない資源の1つです。ラベルベースの人たちは 「パス名を制限したって無駄」「ラベルベースであればパス名を制限する必要はない」と 考えているように見えますが、現実にはパス名は振る舞いに影響します。 環境変数とかコマンドラインパラメータとかも、振る舞いに影響を与えるので 制限すべき対象でしょう。それ故、 TOMOYO 1.6.x が開発されました。 http://lkml.org/lkml/2008/4/12/63 http://sourceforge.jp/projects/tomoyo/document/tlug200805.pdf (サイズが大きいので注意) 属性(あるいはラベル)ベースのアクセス制御が持つ価値だけでなく、 名前(あるいはパラメータ)ベースのアクセス制御が持つ価値にも気付いてほしいですね。 > ところで経験ある人がいらっしゃれば教えていただきたいのですが、 > CentOS5+OpenVZ上でTOMOYOを動かしたことがある方いっらしゃるでしょうか。 http://wiki.openvz.org/Download/kernel/rhel5/028stab053.14 を見ると kernel-ovz.spec というのがありますね。 RHEL5 用なので CentOS 5 用カーネルをコンパイルするのにも流用できそうです。 TOMOYO 向けの spec ファイルの変更はごく僅かですので http://svn.sourceforge.jp/cgi-bin/viewcvs.cgi/tags/ccs-patch/1.6.1/specs/build-c5-2.6.18.sh?root=tomoyo&view=markup を参考に spec ファイルを修正してみてください。 rpmbuild -bb だとコンパイル中にエラーが発生した場合にそこから再開することはできないので、 手順が確立するまでは rpmbuild -bp でコンパイル開始前の状態まで進めて、 TOMOYO パッチを適用してから手動で make -s && make -s modules_install install するのが宜しいのではないでしょうか?