Tetsuo Handa
from-****@I-lov*****
2011年 5月 26日 (木) 22:30:35 JST
早間義博 さんは書きました: > たとえば perl5.12.3 が perl5.12.4 に更新されたとき > domain_policy.conf を格納して > sed -e 's/perl5.12.3/perl5.12.4/g' domain_policy.conf \ > > /etc/tomoyo/domain_policy.conf$$ sed の置換対象文字列部分(上の例だと perl5.12.3 )は正規表現として解釈されて しまうので、 sed -e 's/perl5\.12\.3/perl5.12.4/g' のようにしておかないと 想定外の一致をしてしまう可能性があります。( sed に正規表現として解釈させない オプションがあると嬉しいんですけどねぇ。 TOMOYO では想定外の一致を予防 するために、パターンとして解釈させたい場合に \ を使わせるという仕様に なっています。) > mv /etc/tomoyo/domain_policy.conf$$ domain_policy.conf > を実行して、素早く tomoyo-loadpolicy fd を実行する。 > この場合、perl で作成したアプリケーションの .so 関係が狂うので > やはり再起動でしょうか .so 関係が狂うというのがどういう意味なのか解りませんが、基本的にカーネルを 再起動させる必要は無いような構造になっています。ソフトウェアアップデートの 開始前に tomoyo-queryd を開始しておけば、 tomoyo-queryd がパス名の変化に 起因するポリシー違反を捕捉して保留状態にしておいてくれるので、慌てて sed と tomoyo-loadpolicy を実行する必要はありません。 −−−−−−−−−−−−−−−−−−−− Re: [tomoyo-users 814] Re:ワイルドカードパス名の allow_execute >> 以下のパッチで修正できます。MLに投げますのでお名前の英語表記とメールアドレスをお知らせください。 > そんな大それたことになるのですか、 ↓のように記録に残りました。 http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=e77dc3460fa59be5759e9327ad882868eee9d61b −−−−−−−−−−−−−−−−−−−− Re: [tomoyo-users 825] Re:数値パラメータのパターン化 >> しかし、tomoyo-checkpolicy ではエラーになります。 > ご報告ありがとうございます。 TOMOYO 1.7 と 2.3 のバグですね。 SVN レポジトリに反映されました。 −−−−−−−−−−−−−−−−−−−− Re: [tomoyo-users 827] Re:突然 glibc の lib 要求 > 「例外ポリシーでのワイルドカードを用いた allow_read 指定に包含されていない > パス名だけを追加/削除の対象とする」というオプションはありでしょう。 > (というか、常にそうしたほうが便利でしょうね。) ccs-tools 1.7 の ccs-queryd および tomoyo-tools 2.3 の tomoyo-queryd に関して、 そのように修正しました。また、両者の init_policy に関して ccs-tools 1.8 と 同様にパターン化した状態で共有ライブラリへのアクセス許可を生成するように修正 しました。 ccs-tools 1.8 の ccs-editpolicy に関して、例外ポリシーで指定されている acl_group のアクセス許可も o キーの対象にするように修正しました。( ccs-tools 1.7 および tomoyo-tools 2.3 の例外ポリシーの allow_read には未対応です。)