Tetsuo Handa
from-****@I-lov*****
2006年 11月 11日 (土) 00:00:02 JST
お待たせいたしました。 ただいまからダウンロード可能です。 http://tomoyo.sourceforge.jp/ja/1.3/ にある 手順書の中にダウンロードのURLが書かれています。 1.3 では機能面ではログファイルの上書き禁止(deny_rewite)構文が 追加されました。また、運用面ではドメイン単位で強制アクセス制御の 有効・無効を指定できるようになり、 trust_domain 構文を用いた無効化 しかできなかった 1.2 までよりも柔軟に制御できます。また、 カーネル起動時のコマンドラインを固定化できるようになりました。 今回のリリースではユーザランドプログラムが多数追加されています。 ログイン認証の強化に関連するものでは proxy mailauth timeauth が追加されました。 proxy は http://lists.sourceforge.jp/mailman/archives/tomoyo-users/2006-September/000107.html で紹介した、 SSH クライアント側で動かすポート転送プログラムです。 これを使えば、サーバ側では iptables を用いてクライアントのポート番号による フィルタリングが可能になるため、ポートスキャンで発見されにくくすることができます。 timeauth と mailauth は報道発表 http://www.nttdata.co.jp/release/2006/101300.html で 紹介していたものです。 timeauth.c は、 honey.c を焼き直したものです。 honey では認証情報がソースコード中に ハードコーディングされているため、インタプリタとして作成した方が扱いやすいと思って 開発しました。 mailauth.c は、新規に作成したものです。 携帯電話を巻き込むと聞くと複雑なシステムになりそうに思えますが、 実際には mail や curl コマンドを用いてメールを送信するため、 (ソースコードを見れば判りますが)非常に単純明快なシステムです。 管理ツールとしては、 checkpolicy の仕様が変更された他、 setprofile pathmatch domainmatch ccstree patternize が追加されました。 checkpolicy は従来はドメイン名への到達可能性をチェックする (initializer により到達できないドメインを検出する)ためのツールでしたが、 ポリシーの構文が正しいかどうかをチェックするものに変更されました。 setprofile はドメインに割り当てるプロファイル番号を変更します。 従来は setlevel で制御レベルを切り替えていましたが、今後は setprofile で プロファイル番号を切り替えることになります。 pathmatch は指定されたパターンに一致する、現在ディスク上に存在するパス名の 一覧を表示します。アクセス許可をパターンで指定した場合にアクセス可能になる ファイルの一覧を確認するためのものです。 domainmatch はドメイン単位で fgrep を行うためのスクリプトです。 findtemp で検出されたパス名にアクセスしているドメインを見つけるためのものです。 ccstree はプロセスが属しているドメインとそのドメインに割り当てられている プロファイル番号を pstree のように表示するためのプログラムです。 従来は動作中のプロセスがどのドメインに属しているのかを確認する手段が /proc/ccs/info/self_domain しか無かったため、任意のプロセスに関して 確認することができませんでしたが、今後は ccstree で一覧表示できます。 patternize はドメイン用ポリシーに含まれるパス名のパターン化作業を支援します。 例外ポリシーの file_pattern で指定されたパス名のパターンに置換してからアクセス許可が 学習されるのと同様に、 patternize は標準入力からドメインポリシーを読み込んで コマンドラインで指定されたパス名のパターンに置換してから標準出力へ書き出します。 パターン化が必要なパス名を file_pattern に指定せずに作成してしまったドメインポリシーを、 file_pattern を追加して再度学習させなくても 最初から file_pattern に指定していたときと同様の結果を得ることができます。 おかげさまで、 TOMOYO Linux は今日で1歳になりました。 LKC2005 発表当日に滑り込んできた公開許可、ネーミングを巡る各地のお祭り騒ぎ、 Novell 社による AppArmor の発表、 SELinux と AppArmor との白熱した論戦と 様々な出来事がありました。 そんな中、ネーミングに惑わされず当初から本質を見抜かれて導入し、 開発元でサポートしきれない様々な環境への対応も積極的にチャレンジし、 講演やブログ等を通じて宣伝やフィードバックをしていただいている皆様に 心から感謝いたします。今後とも応援をよろしくお願いいたします。 -- 熊猫さくら
TOMOYO
Fork