早間義博
yossi****@yedo*****
2011年 5月 24日 (火) 12:23:02 JST
TOMOYO
Fork早間です。
環境
os linux-2.6.38-gentoo-r1
tomoyo-tools-2.3.0_p20110511
cesdur kernel: TOMOYO-WARNING: Domain '<kernel> /usr/bin/afterstep
/bin/sh /usr/bin/xterm' has so many ACLs to hold. Stopped
learning mode.
と言うメッセージが出ていました。
tomoyo が出力するログは
TOMOYO-ERROR:
TOMOYO-WARNING:
WARNING:
の3種類だけでしょうか。
また、前掲の xterm に対する learning mode を再開させるにはどのよう
にすれば良いのでしょう。
ポリシに定義されていない usb メモリを mount umount しても追加もさ
れませんし、ERROR にもなりません。
(下記ポリシでは learning mode ですが permissive mode に変えても
変わりません--> これは再起動が必要ですか??)
exception_policy.conf にマウントに関する指定はありません。
すなわち、
# grep -v "allow_read" /etc/tomoyo/exception_policy.conf | \
grep -v "initialize_domain"| grep -v keep_domain | \
grep -v "file_pattern "|grep -v number_group | \
grep -v deny_rewrite
で何も表示されません。
また、tomoyo-editpolicy で
allow_umount /eml
が追加できません、
xterm の使用状況ですが
afterstep から起動しています。xterm は
afterstep を使用しているマシン 3
ssh を経由して他のマシン(2 台) 各 2
と言う状況で通常 7 位起動しています。
メッセージにある xterm は exception_policy.conf に次のように指定し
てあります。
keep_domain <kernel> /usr/bin/afterstep /bin/bash /usr/bin/xterm
keep_domain <kernel> /usr/bin/afterstep /bin/sh /usr/bin/xterm
initialize_domain /usr/bin/xterm
number_group usr_grp 0
number_group usr_grp 100
number_group usr_grp 250
number_group all_mod 0-0777
number_group usr_own 0
number_group usr_own 10001
number_group usr_own 10002
number_group usr_own 10026
number_group usr_mod 0400
number_group usr_mod 0444
number_group usr_mod 0500
number_group usr_mod 0555
number_group usr_mod 0600
number_group usr_mod 0644
number_group usr_mod 0440
number_group usr_mod 0640
number_group usr_mod 0660
number_group usr_mod 0666
number_group usr_ioctl 0x5401-0x541B
number_group ANY_NUMBER 0-0xFFFFFFFF
domain_policy.conf では次のように指定してあります。
(tomoyo-editpolicy の表示データです)
803: 1 #* /usr/bin/xterm
<<< Domain Policy Editor >>> 55 entries '?' for help
<kernel> /usr/bin/xterm
0: allow_read/write /\*
1: allow_create /\* @usr_mod
2: allow_read/write /\{\*\}/\*
3: allow_rewrite /\{\*\}/\*
4: allow_symlink /\{\*\}/\*
5: allow_truncate /\{\*\}/\*
6: allow_unlink /\{\*\}/\*
7: allow_rename /\{\*\}/\* /\{\*\}/\*
8: allow_chmod /\{\*\}/\* @all_mod
9: allow_create /\{\*\}/\* @all_mod
10: allow_chgrp /\{\*\}/\* @usr_grp
11: allow_ioctl /\{\*\}/\* @usr_ioctl
12: allow_chown /\{\*\}/\* @usr_own
13: allow_rmdir /\{\*\}/\*/
14: allow_mkdir /\{\*\}/\*/ @all_mod
15: allow_execute /bin/\*
16: allow_ioctl /dev/null @ANY_NUMBER
17: allow_ioctl /dev/ptmx @ANY_NUMBER
18: allow_chgrp /dev/pts/\$ 5
19: allow_ioctl /dev/pts/\$ @ANY_NUMBER
20: allow_ioctl /dev/snd/controlC\$ @ANY_MUMBER
21: allow_execute /etc/init.d/\*
22: allow_execute /etc/tripwire/twCfgPolcreate
23: allow_execute /etc/tripwire/twpolcheck.pl
24: allow_execute /home/cmdreg/Alive/\*
25: allow_execute /home/cmdreg/\*
26: allow_execute /home/bin/\*
27: allow_link /home/yossi/.Xauthority-c /home/yossi/.Xauthority-l
28: allow_execute /home/local/\{\*\}/\*
29: allow_execute /opt/Adobe/\{\*\}/\*
30: allow_execute /opt/atokx3/bin/\*
31: allow_execute /opt/bin/\*
32: allow_execute /opt/rar/\*
33: allow_execute /opt/sbin/\*
34: allow_execute /opt/vmware/\{\*\}/\*
35: allow_link /root/.xauthnqY8Tx-c /root/.xauthnqY8Tx-l
36: allow_link /root/.xauthnqY8Tx-n /root/.xauthnqY8Tx
37: allow_execute /sbin/\*
38: allow_execute /usr/bin/\*
39: allow_execute /usr/lib/portage/bin/\*
40: allow_execute /usr/lib/tomoyo/\*
41: allow_execute /usr/lib64/misc/utempter/utempter
42: allow_execute /usr/lib64/nspluginwrapper/i386/linux/npviewer
43: allow_execute /usr/lib64/nspluginwrapper/i386/linux/npviewer.bin
44: allow_execute /usr/lib64/xulrunner-2.0/plugin-container
45: allow_execute /usr/local/bin/\*
46: allow_execute /usr/local/sbin/\*
47: allow_execute /usr/sbin/\*
48: allow_mkfifo /var/tmp/binpkgs/\{\*\}/\* 0644
49: allow_mount janus.example.jp:/eml /eml/ nfs 0x0
50: allow_mount janus.example.jp:/eml/portage /usr/portage nfs 0x0
51: allow_ioctl pipe:[\$] @usr_ioctl
52: allow_mount qed.example.jp:/Server /mnt/Server nfs 0x0
53: allow_ioctl socket:[family=\$:type=1:protocol=\$] @usr_ioctl
54: allow_ioctl socket:[family=\$:type=2:protocol=\$] @usr_ioctl
-- 早間