Tetsuo Handa
from-****@I-lov*****
2008年 3月 3日 (月) 21:07:45 JST
熊猫です。 > > > /var/log/tomoyo/reject_log.txtの中には、 > > > ============================================= > > > #2008-03-03 15:44:55 ***** > > > <kernel> /sbin/mingetty /bin/login /bin/bash /usr/lib/ccs/savepolicy > > > allow_unlink /etc/ccs/domain_policy.conf > > > ============================================= > > > というくだりがありました。 > > > > > > /etc/ccsには、 > > > domain_policy.08-03-03.15:44:55.conf > > > 生成されていました。 > > domain_policy.08-03-03.15:44:55.conf を作成したときに > > 学習モードで動いていたのでアクセス許可が学習されたのですね。 > > > とすると、reject_log.txtに記載されている内容は、何が拒否されたのでしょう > か。むむむ・・・。 reject_log.txt の中に <kernel> /sbin/mingetty /bin/login /bin/bash /usr/lib/ccs/savepolicy allow_unlink /etc/ccs/domain_policy.conf というのがあれば、 「 <kernel> /sbin/mingetty /bin/login /bin/bash /usr/lib/ccs/savepolicy というドメインに 属しているプロセスが /etc/ccs/domain_policy.conf の削除を要求したこと」 「そのドメインにはその操作を行うための権限が与えられていなかったこと」を意味します。 反対に、 grant_log.txt (手順書では /dev/null に捨ててしまっています)の中に <kernel> /sbin/mingetty /bin/login /bin/bash /usr/lib/ccs/savepolicy allow_unlink /etc/ccs/domain_policy.conf というのがあれば、 「 <kernel> /sbin/mingetty /bin/login /bin/bash /usr/lib/ccs/savepolicy というドメインに 属しているプロセスが /etc/ccs/domain_policy.conf の削除を要求したこと」 「そのドメインにはその操作を行うための権限が与えられていたこと」を意味します。 ただし、その時の制御モードが含まれていないため、 学習モードまたは確認モードにおいて権限が与えられていなかった(削除は行われた)のか 強制モードにおいて権限が与えられていなかった(削除は行われなかった)のかを知る術がないという 問題が 1.5.x までには存在しています。 現在開発中の 1.6.x ではその時の動作モード(プロファイル番号と制御モード)を アクセスログの中に含めるように仕様を変更していますので、 学習モードまたは確認モードにおいて許可されなかったのか、それとも 強制モードにおいて許可されなかったのかを判断できるようになります。