Tetsuo Handa
from-****@I-lov*****
2010年 10月 12日 (火) 21:10:42 JST
前回の報告以降の TOMOYO 1.8 に対するユーザの目に見える変更として、ポリシー 違反発生時にポリシー違反メッセージを表示するかどうかを指定する verbose= オプションを廃止しました。代わりに、ポリシー違反の発生状況を確認するために /proc/ccs/stat インタフェースを追加しました。ポリシー違反の有無を /proc/ccs/stat で調べ、ポリシー違反の内容を /proc/ccs/reject_log で調べる という手順です。また、 file_pattern 構文を廃止しました。パス名をワイルドカード 化する処理はカーネルの中では行わず、ユーザ空間で行うようにしました。 現在、パス名を表記する際に、 / で終わればディレクトリ名、 / 以外で終われば ディレクトリ以外という区別をしています。これは、書き込みアクセスの権限が現在の create write mkdir unlink などのように細分化されていなかった(読み書き実行を それぞれ 4 2 1 で表現していた)頃の名残です。そのため、例えばホームディレクトリ 以下のリネームを許可したい場合に file rename /home/\{\*\}/ /home/\{\*\}/ file rename /home/\{\*\}/\* /home/\{\*\}/\* のように2つに分けて指定する必要があります。 現在では必要に応じて path1.type=directory などといった条件指定をすることが 可能であるため、末尾の / の有無による区別を廃止して file rename /home/\{\*\}/\* /home/\{\*\}/\* のように集約してしまい、例えばディレクトリのリネームを禁止したい場合のみ file rename /home/\{\*\}/\* /home/\{\*\}/\* path1.type!=directory path2.type!=directory という条件指定を行うように変更しても構わないのかなと感じています。 副作用として今までディレクトリを指定する際に file mkdir /home/\{\*\}/ のように指定できていたものが file mkdir /home/\{\*\}/\* のようにベースネーム部分を明示する必要が生じます。 TOMOYO 1.8 でこのように仕様を変更しても容認できますか?この変更に問題がある方は 返信ください。返信が無いようでしたら処理の単純化のために末尾の / の有無による 区別を廃止します。