gmane.linux.tomoyo.user.japanese

[tomoyo-users 956] ccs-patch-1.6.9p4/1.7.3p4/1.8.3p7 akari-1.0.27 caitsith-0.1p1 をアップロードしました。

Tetsuo Handa — 2012-05-05T13:51:25

ccs-patch 1.8.3p7 では３つの不具合が修正されています。

 (1) カーネル 2.6.0 〜 2.6.11 で、 TOMOYO が受信パケットをドロップする際に
　　spin_lock_irq()/spin_unlock_irq() ではなく spin_lock_bh()/spin_unlock_bh()
　　を使うように修正しました。

 (2) RHEL 5.2-5.8 のカーネルで、 TOMOYO が受信パケットをドロップする際に
    skb_kill_datagram() の呼び出しを lock_sock()/release_sock() で保護
　　するように修正しました。

 (3) Live CD 上で動作している Ubuntu 12.04 のカーネルで、 TOMOYO は / で
　　始まらないマネージャプログラムのパス名を容認するように修正しました。
　　これは、 Ubuntu 12.04 Live CD 上では、 /usr/sbin/ccs-editpolicy という
　　パス名が /usr/sbin/ccs-editpolicy ではなく
　　squashfs:/usr/sbin/ccs-editpolicy として認識されるためです。

上記に該当しないカーネルの場合、今回のアップデートは不要です。



ccs-patch-1.7.3p4 と ccs-patch-1.6.9p4 は上記の (1) と (2) が修正されています。



Ubuntu 12.04 + TOMOYO 1.8.3p7 の Live CD を作成しました。
http://tomoyo.sourceforge.jp/1.8/ubuntu12.04-live.html

この Live CD は、カーネルコマンドラインオプションに
security=tomoyo ccsecurity=off を追加してやることで、
Ubuntu 12.04 + TOMOYO 2.5 の Live CD として使うことも可能です。

今回は、 Ubuntu 12.04 のレポジトリに tomoyo-tools-2.5 を追加するのが
間に合いませんでした。そのため、 tomoyo-tools-2.5 はバイナリパッケージを
apt-get でインストールしようとするのではなく、ソースからインストールするように
してください。apt-get でインストールされるのは tomoyo-tools-2.4 であるため、
プロファイルバージョンの不一致により起動時にカーネルパニックになります。

    TOMOYO: 2.5.0
    Profile version 20100903 is not supported.
    Userland tools for TOMOYO 2.5 must be installed and policy must be initialized.
    Please see http://tomoyo.sourceforge.jp/2.5/ for more information.
    Kernel panic - not syncing: STOP!



akari-1.0.27 は上記の (3) が修正されているほか、全ての RHEL 4/5/6 カーネルで
動作するようになりました。 AKARI では受信パケットのフィルタリングが出来ないため
AKARI には上記 (1) と (2) は該当しません。



何か問題を見つけたらお知らせください。

ccs-patch-1.6.9-20120505.tar.gz     MD5: 3333f441b9e74b8fc6f9722c701e2e1d
ccs-patch-1.7.3-20120505.tar.gz     MD5: aaaa0b076d2ff853a7f7007c7521df8e
ccs-patch-1.8.3-20120505.tar.gz     MD5: 444498151f894b1985f1beb98679bcfe
akari-1.0.27-20120505.tar.gz        MD5: bbbbb12c4aee2e8e5ffc3b4075163bcc
caitsith-patch-0.1-20120505.tar.gz  MD5: 1111566e2503e5155771c4c4f80f96ff
caitsith-tools-0.1-20120505.tar.gz  MD5: aaaa08c1b97338647a2d240be6d6e430

[tomoyo-users 953] 卒業

Toshiharu Harada — 2012-03-31T13:52:06

今日は3月31日、あと数時間で新しい年度が始まります。
卒業、進学、就職、あるいは社会人の方は異動、転勤等で明日から
新しい生活を始める方も多いかと思います。
時間は実際には切れめなく流れるものですが、こうした区切りは
とかく時間に流されがちな生活の中、過ぎたことを振り返る
良い機会かもしれません。
TOMOYO Linuxもまた、ひとつの区切りを迎えました。

TOMOYO Linuxのプロジェクトのプロジェクトのあゆみを
振り返ってみたいと思います。

取り組みの始まりから、オープンソース公開まで。
http://www.slideshare.net/haradats/tomoyo-linux

使いこなせて安全なLinuxを求めて。
http://www.slideshare.net/haradats/linux-2508451

メインライン挑戦のきっかけから、OLS2008直前まで。
http://www.slideshare.net/haradats/realities-of-mainlining-case-of-the-tomoyo-linux-project

「MACの議論を振り返ろう」と言いつつパス名MACのアピールをしたOLS2008
http://www.slideshare.net/haradats/time-to-glean-mac-for-linux-history-and-the-future

メインライン化達成
http://sourceforge.jp/projects/tomoyo/wiki/ThankYou

メインライン化の経験を振り返る形で、関係者に感謝したJLS2009
http://www.slideshare.net/haradats/kernel-development-drawing-lessons-from-mistakes

企業でオープンソースのプロジェクトマネージャをするというのはどういうことか？
http://www.slideshare.net/haradats/what-does-it-mean-being-an-open-source-project-manager-in-enterprise-open-source-spirit-edition

"Secure Linux"入門
http://www.slideshare.net/haradats/your-first-guide-to-secure-linux-4906031

はてなダイアリーの記事長制限で追加できなくなるほどいろいろ活動しました。
http://tomoyo.sourceforge.jp/hatena/

2chもやってました。
http://tomoyo.sourceforge.jp/2ch/thread-1.txt

プロジェクト運営に関する考え方は、あまり変わっていません。
http://sourceforge.jp/projects/sourceforge/wiki/potm_0707_tomoyolinux

TOMOYO Linuxのプロジェクト（最初は名前もついてませんでしたが）は、
2003年の春、それまで事業部門で放送関連の仕事をしていた私が、当時茅場町にあった
NTTデータの技術開発本部に異動になり、オープンソース関連の活動を
することになったことから始まりました（最初のスライドの内容そのままです）。
その異動先にたまたまいたのが半田さんだったわけです。
メインライン化前後では、武田君と沼口君もメンバーに加わりましたが、
最初からずっと変わらず参加していたのは、半田さんと私になります。

私事ですが、4月より私はNTTデータ先端技術株式会社に出向することに
なりました。これに伴い、（TOMOYO Linux以前より）BPとして、NTTデータで
作業していた半田さんも長年のNTTデータでの作業を終えることになりました。

TOMOYO Linuxの提供やサポート、ホームページやメーリングリストなどを
含めたプロジェクトの運用は、これで終わることになりませんが（笑）
一応ひとつの区切りであり、NTTデータの活動として生まれたTOMOYO Linuxという
プロジェクトが卒業する、と言っても良いかと思います。

以前メーリングリストで報告したように、今年度TOMOYO LinuxのAndroid適用を
受託し、その製品が世に出ています。それは、あまりにささやかかもしれませんが、
私にとってはTOMOYO Linuxを育ててくれたNTTデータへの恩返しとして、
とても重要でうれしいマイルストンでした。

事業への貢献以外に、実現したかったことがあります。それは、TOMOYO Linuxに
ついて、記録を残すことです。「ソースコードがオープンなのに？」と
思われるかもしれませんが、ソースコードを読んでも、どうして、何を考えて、
そのプログラムを書いたかということ、その思想やコードに至るまでの
試行錯誤はわからないはずです。それは、1時間のセッションでも伝えられません。
それを表現する様式はやはり論文なのかと思います。この一年間、
TOMOYO Linuxについて説明することに取り組んできました。一年間、
（ポリテクセンタのセミナーを除き）対外的なイベントに参加せず、この
メーリングリストの書き込みも少なかったのはそのためです。メインライン化とは
違った意味で難しい作業でした。「TOMOYO Linuxとは何だろう」ということを
ずっと考えていました。ソースコードや取り組みの記録の他に、日本語と英語で、
TOMOYO Linuxとは何かを残し、共有したいと思っています。

正直に言うと、私は自分の役割はメインラインに入れるところまでと
思っていました。「企業でオープンソースのプロジェクトマネージャをすると
いうのはどういうことか？」のスライドで、切り離された燃料が宇宙に
消えていく場面がありますが、「標準に搭載されたら、あとは内容次第」と
思っていたわけです。そう思ったからこそ、「マネージャとして、お世話になった
人々やコミュニティに恩返しをしたい。自分にできることは？」と考えて
行ったのが、LinuxCon2009, LinuxCon2010の講演だったわけです。

でも、今はもっと続きそうだと思っています（笑）。

ということで（こんな表現は論文ではNGです）、TOMOYO Linuxは
NTTデータを卒業して、新しいステージを歩み始めることになりました。
ここまで続けて来られたことを本当に幸せだと思います。
どうもありがとうございました。

これからもよろしくお願いします。(_ _)

[tomoyo-users 952]今年もセミナーを行います

Toshiharu Harada — 2012-03-12T07:28:17

昨年、高度ポリテクセンターさんにて、TOMOYO Linuxのセミナーを
開催させていただきましたが、今年も同様のセミナーを
開催することになりました。

「TOMOYO Linux(セキュアOS)適用技術」
http://www.apc.jeed.or.jp/seminar/course/12semiE028.html

E0281　2012年09月24日(月)〜09月25日(火)
【受講料】 
23,000円 
【定員】 
12名

昨年開催した第1回は、2日連続、ハンズオン形式とまったく
初めての経験でいろいろ悩みましたが、とても充実した役に
立つ内容だったと思います（自分で言うな、という感じですが、
正直な気持ちです）。

高齢・障害・求職者雇用支援機構様より、「是非次年度も」という
お話をいただきました。正直なところ、「もう受けたいと思う人は、
昨年受けてしまったのでは〜」と思わないでもないのですが、
そこはそれとして、お願いすることにしました。

基本的な内容は、昨年のプログラムを踏襲しますが、
極力参加者の方々のご希望に応えるようにします。
開催は9月とまだ先ですが、どうぞご検討ください。

[tomoyo-users 951]TOMOYO 次期バージョン

Tetsuo Handa — 2012-03-10T03:00:54

いくつか問題が残っていますが、 TOMOYO の次期バージョンの形が見えてきました。
単純さを優先した内容になっています。例えば、「数百通りもあるドメインの管理を
誰ができるの？」という意見に応えるために、 TOMOYO のドメインの管理を必須から
任意に変更しました。例えば、「ホワイトリスト形式で使うのは負担が
大きすぎるから、ブラックリスト形式で使いたい」という意見に応えるために、
allow で許可されていないものは全て deny という形から、パケットフィルタリングの
ように allow/deny ルールを混在して指定する形になりました。

大幅な方針転換のために、バージョン番号をどうするかまだ決まっていません。
もしかしたら、もはや TOMOYO とは呼べないものかもしれません。

導入手順書とポリシー仕様書が（英語ですが）
http://tomoyo.sourceforge.jp/testing/ にあります。
（壊れても構わない）評価用マシンを用意できるのであれば、実際に試して
使い勝手などのフィードバックをいただけると嬉しいです。

[tomoyo-users 949] ccs-patch-1.6.9p2/1.7.3p2/1.8.3p5 ccs-tools-1.6.9p1/1.7.3p1/1.8.3p2 をアップロードしました。

Tetsuo Handa — 2012-03-03T13:41:19

AppArmor のパッチを読んでいたら、（ユーザ空間からは任意の組み合わせの MS_*
オプションをマウント要求に渡すことができるために） TOMOYO のマウント
パーミッションチェックが不正確になる場合があることに気がつきました。
２つ例を示します。

  MS_SHARED/MS_PRIVATE/MS_SLAVE/MS_UNBINDABLE の方が MS_BIND よりも優先度が
　高かったため、もし MS_BIND と MS_SHARED/MS_PRIVATE/MS_SLAVE/MS_UNBINDABLE の
　何れかが同時に指定された場合、デバイスファイル名をチェックすべきところが
　チェックされないようになっていました。

  MS_BIND/MS_MOVE の方が MS_REMOUNT よりも優先度が高かったため、もし
　MS_BIND/MS_MOVE のどちらかと MS_REMOUNT が同時に指定された場合、デバイス
　ファイル名をチェックすべきでないところでチェックされるようになっていました。

このバグを do_mount() と同様に MS_REMOUNT -> MS_BIND ->
MS_SHARED/MS_PRIVATE/MS_SLAVE/MS_UNBINDABLE -> MS_MOVE という優先順位に変更
することで修正しました。また、 MS_SHARED/MS_PRIVATE/MS_SLAVE/MS_UNBINDABLE は
同時に１つしか指定できないので、複数指定されていた場合には -EINVAL を返すことで
不正確な TOMOYO のアクセス要求ログが発生しないように変更しました。

TOMOYO 2.3 （カーネル 2.6.36 ）以降にもこのバグは存在しています。
TOMOYO 2.5 向けの修正パッチは カーネル 3.4 に含まれる予定です。

このバグを修正することにより、マウント制限が有効な場合にはポリシーの修正が
必要になる可能性があります。ただし、アプリケーションが上記で示したような例に
該当するようなマウント要求をすることはまず無いため、実際に修正が必要になる
ことはまず無いでしょう。



また、カーネル 3.4 では UMH_WAIT_PROC という定数（現在は 1 です）が変更される
予定です。この変更がバックポートされる場合に備えて、ハードコーディングされた
定数ではなく UMH_WAIT_PROC という定数を使うように修正しました。残念ながら、
この変更の有無を実行時に検出する方法はありません。もし、ポリシーローダ
（ /sbin/ccs-init ）の実行が終了する前にカーネルが先に進もうとしてしまう
ことにより起動時にカーネルパニックが発生するようになった場合、この変更が
バックポートされていないかどうか確認してください。（もし、 TOMOYO 2.x 内の
ハードコーディングされた定数を UMH_WAIT_PROC に変更せずに、この変更だけが
バックポートされてしまった場合、 /sbin/tomoyo-init でも同様のことが発生
します。 TOMOYO 2.x をバックポートされている方はご注意ください。）



ccs-tools-1.7.3 については、バグ修正と機能強化を行いました。

  /usr/sbin/ccs-checkpolicy
    Fix validation failure with number_group entries.

  /usr/sbin/ccs-editpolicy
    Allow optimization command ('o' key) to exception policy.
    Fix wrong copy to buffer command ('insert' key) from Process State Viewer mode.

  /usr/lib/ccs/init_policy
    Generate wildcarded allow_read entries.

ccs-tools-1.8.3 については、「 o キーを押したときにエントリが選択されたか
どうかを確認できるようにするために、現在選択中の行の数が表示されるようになって
いると嬉しい」という要望を原田さんからもらったため、ヘッダ行に表示するように
しました。

  & マークが付いている行が存在しない場合、ヘッダ行の表示は現在のままです。

    <<< Exception Policy Editor >>>      109 entries    '?' for help

  & マークが付いている行が存在する場合、ヘッダ行の表示は以下のようになります。

    <<< Exception Policy Editor >>>      109 entries (9 selected)   '?' for help



何か問題を見つけたらお知らせください。

ccs-patch-1.6.9-20120301.tar.gz  MD5: 111184bfdcc6342987af4f431895e382
ccs-patch-1.7.3-20120301.tar.gz  MD5: 1111d8fb724cae0c7b0dd8a3b294c55f
ccs-patch-1.8.3-20120301.tar.gz  MD5: bbbbc6a0872028ed17d623af720a73bd
ccs-tools-1.6.9-20120301.tar.gz  MD5: 9999b891210fb4d79da4e9ebefc92236
ccs-tools-1.7.3-20120301.tar.gz  MD5: 777796417338fff302597456bbf9e0b7
ccs-tools-1.8.3-20120301.tar.gz  MD5: dddd6ca49a2f73bef77590cd4d199a9f
akari-1.0.25-20120301.tar.gz     MD5: 6666311eece23c6250957dca91083b6e

[tomoyo-users 948]Bugzillaにあなたの一票を

Toshiharu Harada — 2012-01-25T04:31:30

2009年の1月に、半田さんがRed HatのBugzillaに「2.6.30にメインラインに
マージされたTOMOYOをFedoraで有効にして欲しい」とリクエストしています。
それに対する返事とコメントが下記で見られます。

https://bugzilla.redhat.com/show_bug.cgi?id=542986

SELinuxを擁するRed Hatとして、それ以外のLSMモジュールを
追加するモチベーションはありません。レスポンスにあるように
追加したらそのための対応稼働も増えます。もし、追加してもらえるとしたら、
「ユーザのニーズ」、「ユーザからの声」しかありません。

プロジェクトメンバーもコメントしているのですが、
いかんせん人数が足りませんし、関係者（というよりか当事者）で
あることがばればれなので実に説得力がありません。
強く押せば押すほど逆効果になるかもしれません
（アカウント削除や書き込み禁止にしなくても、スルーされても
おかしくありません）。

今朝、Akemi Yagiという方が、こんなコメントを書き込まれました。
（CentOSのWikiを担当されている方のようです）

I also believe that enabling TOMOYO is beneficial for Fedora users -- and
eventually for the entire RH ecosystems.  In a long run, providing more choices
should help propagate use of Fedora in a wider community.

私も本当にそうだと思います。Fedoraのユーザにとって、
TOMOYOという選択肢が増えることはきっと良いことだと思うのです。
また、TOMOYOを有効にしたからと言って、Red Hatのサポートの稼働が
増えることもあまりないのではないかと思います。
（TOMOYOユーザが増えることによって、SELinuxユーザが減り、
それによりむしろ稼働が少なくなるかもしれません）

ということで、前置きが長くなりましたが、FedoraでもTOMOYOが
使えたら良いな、と思われる方があれば、是非あなたの
素直な気持ちをコメントとして書き込んでみませんか？という
お願いでした。

[tomoyo-users 947]TOMOYOの技術コンサルを受け付けます

Toshiharu Harada — 2012-01-07T14:32:39

普通は見積もりや契約などは営業担当が行うものですが、
TOMOYO Linuxには現状営業チームが存在していません。
（プロジェクトはステルスモードで稼働しています、念のため）

Androidへの組込みについて、技術コンサルという形でお手伝いを
させていただいたのですが、営業チームがいないので
自分でやりました。(^-^;

私は入社以来技術開発部門所属が長く、事業部門にいたことも
ありますがそのときも開発（設計）担当だったので、契約関係は
知識も経験もゼロでした。現在の所属も技術開発部門のため、
周りも同様です。見積もりから契約締結、請求処理まで
すべて調べて自分でやりました。それはそれは、大変で、膨大な
時間がかかりましたが、苦労の甲斐あって、契約を締結、
TOMOYO搭載Androidを送り出すことができました。

前置きが長くなりましたが、そういうことで、直接社外からの
依頼を受けられるようになりました。対応リソースが
ごく限られているため、早いもの順です（笑）。
「メーリングリストで見た」と言っていただけば、ディスカウントも
予定していますので、ご興味ある方は是非ご連絡ください。

PS
ネタではありません。（と書くとかえってネタっぽい？）

[tomoyo-users 946] SELinux on Android

Toshiharu Harada — 2012-01-07T14:17:14

半田さんに石川さんのつぶやきを教えてもらいました。

http://twitter.com/#!/ishikawa84g/status/155504691118211074

私は、SELinuxのメーリングリストを購読していますが、最近
「AndroidでSELinuxを動かしたい」「いや、もう作ってる」というやりとりが
あったのを興味深く読んでいました。

資料も読んだのですが、「これでもか」というトーンがいかにも
SELinux（の推進陣営）的でとても微笑ましい（開発している人たちを
知っており表情が浮かぶ、ということで皮肉ではありません）というのが
第一印象で、内容については「さすが」と「ずいぶん無理するな」と
思いました。さすがNSAです。

"Welcome SELinux, seriously" ということではありませんが、
広く普及しているAndroidのセキュリティを高めるための選択肢が
増えることは良いことだと思います。

実は、事情があり紹介していませんでしたが、TOMOYOを搭載したAndroid端末も
昨年（製品として）世の中に出ています。半年近い時間をかけて、
端末開発のメーカの方と議論しながらTOMOYOを組み込みました。
（探しても良いですが、攻撃しないでください（笑））

Linuxをベースとしながら独自の工夫と仕組みを持つAndroidを
どう守るのかというのは、とても難しく興味あるテーマです。
TOMOYOでできることを、熊猫先生と一緒に地道に
追求していきたいと思っています。

[tomoyo-users 947]TOMOYOの技術コンサルを受け付けます

Toshiharu Harada — 2012-01-07T14:32:39

普通は見積もりや契約などは営業担当が行うものですが、
TOMOYO Linuxには現状営業チームが存在していません。
（プロジェクトはステルスモードで稼働しています、念のため）

Androidへの組込みについて、技術コンサルという形でお手伝いを
させていただいたのですが、営業チームがいないので
自分でやりました。(^-^;

私は入社以来技術開発部門所属が長く、事業部門にいたことも
ありますがそのときも開発（設計）担当だったので、契約関係は
知識も経験もゼロでした。現在の所属も技術開発部門のため、
周りも同様です。見積もりから契約締結、請求処理まで
すべて調べて自分でやりました。それはそれは、大変で、膨大な
時間がかかりましたが、苦労の甲斐あって、契約を締結、
TOMOYO搭載Androidを送り出すことができました。

前置きが長くなりましたが、そういうことで、直接社外からの
依頼を受けられるようになりました。対応リソースが
ごく限られているため、早いもの順です（笑）。
「メーリングリストで見た」と言っていただけば、ディスカウントも
予定していますので、ご興味ある方は是非ご連絡ください。

PS
ネタではありません。（と書くとかえってネタっぽい？）

[tomoyo-users 946] SELinux on Android

Toshiharu Harada — 2012-01-07T14:17:14

半田さんに石川さんのつぶやきを教えてもらいました。

http://twitter.com/#!/ishikawa84g/status/155504691118211074

私は、SELinuxのメーリングリストを購読していますが、最近
「AndroidでSELinuxを動かしたい」「いや、もう作ってる」というやりとりが
あったのを興味深く読んでいました。

資料も読んだのですが、「これでもか」というトーンがいかにも
SELinux（の推進陣営）的でとても微笑ましい（開発している人たちを
知っており表情が浮かぶ、ということで皮肉ではありません）というのが
第一印象で、内容については「さすが」と「ずいぶん無理するな」と
思いました。さすがNSAです。

"Welcome SELinux, seriously" ということではありませんが、
広く普及しているAndroidのセキュリティを高めるための選択肢が
増えることは良いことだと思います。

実は、事情があり紹介していませんでしたが、TOMOYOを搭載したAndroid端末も
昨年（製品として）世の中に出ています。半年近い時間をかけて、
端末開発のメーカの方と議論しながらTOMOYOを組み込みました。
（探しても良いですが、攻撃しないでください（笑））

Linuxをベースとしながら独自の工夫と仕組みを持つAndroidを
どう守るのかというのは、とても難しく興味あるテーマです。
TOMOYOでできることを、熊猫先生と一緒に地道に
追求していきたいと思っています。

[tomoyo-users 947]TOMOYOの技術コンサルを受け付けます

Toshiharu Harada — 2012-01-07T14:32:39

普通は見積もりや契約などは営業担当が行うものですが、
TOMOYO Linuxには現状営業チームが存在していません。
（プロジェクトはステルスモードで稼働しています、念のため）

Androidへの組込みについて、技術コンサルという形でお手伝いを
させていただいたのですが、営業チームがいないので
自分でやりました。(^-^;

私は入社以来技術開発部門所属が長く、事業部門にいたことも
ありますがそのときも開発（設計）担当だったので、契約関係は
知識も経験もゼロでした。現在の所属も技術開発部門のため、
周りも同様です。見積もりから契約締結、請求処理まで
すべて調べて自分でやりました。それはそれは、大変で、膨大な
時間がかかりましたが、苦労の甲斐あって、契約を締結、
TOMOYO搭載Androidを送り出すことができました。

前置きが長くなりましたが、そういうことで、直接社外からの
依頼を受けられるようになりました。対応リソースが
ごく限られているため、早いもの順です（笑）。
「メーリングリストで見た」と言っていただけば、ディスカウントも
予定していますので、ご興味ある方は是非ご連絡ください。

PS
ネタではありません。（と書くとかえってネタっぽい？）

[tomoyo-users 946] SELinux on Android

Toshiharu Harada — 2012-01-07T14:17:14

半田さんに石川さんのつぶやきを教えてもらいました。

http://twitter.com/#!/ishikawa84g/status/155504691118211074

私は、SELinuxのメーリングリストを購読していますが、最近
「AndroidでSELinuxを動かしたい」「いや、もう作ってる」というやりとりが
あったのを興味深く読んでいました。

資料も読んだのですが、「これでもか」というトーンがいかにも
SELinux（の推進陣営）的でとても微笑ましい（開発している人たちを
知っており表情が浮かぶ、ということで皮肉ではありません）というのが
第一印象で、内容については「さすが」と「ずいぶん無理するな」と
思いました。さすがNSAです。

"Welcome SELinux, seriously" ということではありませんが、
広く普及しているAndroidのセキュリティを高めるための選択肢が
増えることは良いことだと思います。

実は、事情があり紹介していませんでしたが、TOMOYOを搭載したAndroid端末も
昨年（製品として）世の中に出ています。半年近い時間をかけて、
端末開発のメーカの方と議論しながらTOMOYOを組み込みました。
（探しても良いですが、攻撃しないでください（笑））

Linuxをベースとしながら独自の工夫と仕組みを持つAndroidを
どう守るのかというのは、とても難しく興味あるテーマです。
TOMOYOでできることを、熊猫先生と一緒に地道に
追求していきたいと思っています。

[tomoyo-users 943]Debian でも AppArmor が有効になりました

Tetsuo Handa — 2011-12-19T07:27:26

http://anonscm.debian.org/viewvc/kernel/dists/trunk/linux-2.6/debian/changelog?view=markup&pathrev=18395

さてさて、 Fedora と RHEL は今後も SELinux 一本路線で突き進むのかなぁ？

[tomoyo-users 940] Linux 3.2-rc5 での TOMOYO 1.8/AKARI について

Tetsuo Handa — 2011-12-09T12:50:25

パス名を計算するための関数である __d_path() の仕様が変更されたため、
Linux 3.2-rc5 以降のカーネルに対して ccs-patch-1.8.3-20111118.tar.gz および
akari-1.0.23-20111118.tar.gz を使わないようにしてください。これらの tarball を
使った場合、 NULL pointer dereference によりカーネルパニックが発生します。

3.2-rc5 をすぐに試したい場合、この仕様変更に対応した更新版を
http://sourceforge.jp/projects/tomoyo/svn/view/trunk/1.8.x/ccs-patch/?root=tomoyo
および http://sourceforge.jp/projects/akari/svn/view/trunk/akari/?root=akari
からダウンロードできます。

なお、この __d_path() の仕様変更は 2.6.36 〜 3.1 にもバックポートされるかも
しれません。もしバックポートされた場合、 TOMOYO 1.8 や AKARI を更新版を用いて
再コンパイルする必要があります。

[tomoyo-users 931] TOMOYO Linux に関するいろいろなお知らせ

Tetsuo Handa — 2011-11-11T12:54:49

　熊猫さくらです。

今日（１が６個並んだ日）は TOMOYO 1 系にとってＯＳＳ公開から６周年の記念日でも
あります。でも、今年は開発のタイミングが合わなかったので、記念日リリースは
ありません。その代わり、いろいろとお知らせです。



まず、 1.8.3p2 として ccs-patch-1.8.3-20111111.tar.gz をアップロードしました。

カーネル用パーティション容量が小さな環境でも搭載しやすくするために、ポリシーの
読み込み処理の見直しと、関数および変数の再配置を行った結果、機能を維持しながら
（ x86_32 で）オブジェクトサイズが約６％小さくなりました。

また、使う予定の無い機能をカーネルコンフィグで除外できるようにしました。
1.8.3p1 までは全ての構文を認識していましたが、 1.8.3p2 ではカーネルコンフィグで
除外された機能の構文は認識されなくなりました。これは、 AKARI についても同様
です。



TOMOYO 1.x のレポジトリに関して、バイナリパッケージのダウンロードサーバを
osdn.dl.sourceforge.jp から jaist.dl.sourceforge.jp に変更しました。
これにより、（ apt が HTTP リダイレクトを受け付けてくれない Debian Lenny と
Ubuntu 8.04 を除いた） rpm/deb ファイルのダウンロードが高速化された筈です。



Jamie Nguyen さんが RHEL6 および Fedora 16 用の i686 および x86_64 用
TOMOYO 1.8 バイナリパッケージのためのレポジトリを用意してくれました。
イギリスのサーバなので日本からだと３５〜４０ＫＢ／秒程度しか出ませんが、
カーネルはそんなに頻繁にアップデートされるものではないので大丈夫でしょう。

CentOS 6.1 がリリースへ向けて準備中のようですが
http://qaweb.dev.centos.org/qa/node/116
CentOS+ カーネルパッケージで TOMOYO 2.2 を有効にしてもらう提案をしました。
http://bugs.centos.org/view.php?id=5219
問題が起こらなければ CentOS 6.1 の CentOS+ カーネルで TOMOYO 2.2 を使えるように
なると予想しています。また、 CentOS+ カーネルパッケージを導入した上で AKARI も
導入すれば、ディレクトリエントリの操作を絶対パス名で観測／制限できるように
なります。

クラウドコンピューティング環境のホストとして使うために x86_64 用カーネルの
インストールを求められることが増えてきているかと思います。メインライン版の
TOMOYO を利用したい方は CentOS+ レポジトリからの導入を、フル機能版の TOMOYO を
利用したい方は Jamie さんのレポジトリからの導入を、パッケージの置き換えを
せずにある程度の機能を持つバージョンを使いたい方は AKARI をどうぞ。



openSUSE 12.1 向けの tomoyo-tools-2.4 パッケージがレポジトリ入りし、
openSUSE 12.1 で TOMOYO 2.4 を使う準備ができました。
http://www.youtube.com/watch?v=MkBXGUb6RPo



TOMOYO 2.5 を搭載した Linux 3.2-rc1 がリリースされました。
ネットワークソケットの送信先アドレスや環境変数も制限できるようになりました。
http://tomoyo.sourceforge.jp/2.5/chapter-3.html
また、 Apache のバーチャルホスト単位での権限分割（ mod_tomoyo ）もできるように
なりました。
http://tomoyo.sourceforge.jp/2.5/chapter-13.html
Ubuntu 12.04 LTS では TOMOYO 2.5 が使えるようになる見込みです。
https://lists.ubuntu.com/archives/kernel-team/2011-November/017719.html



最後に、 TOMOYO 1.9 についてです。
TOMOYO 1.9 では、アクセスされる側の視点からもポリシーを書けるようにしようと
考えています。従来の構文は

　ドメイン名１
　use_profile 3
　操作　対象　条件
　操作　対象　条件
　操作　対象　条件

　ドメイン名２
　use_profile 2
　操作　対象　条件
　操作　対象　条件

のように「アクセスする側」が「アクセスしてよい資源」や「強制モードか否か」を
指定していました。それをひっくり返して

　allow 操作　対象　条件
　    mode enforcing
　    by ドメイン名１　条件
　    by ドメイン名２　条件

のように「アクセスされる側」が「アクセスしてよいドメイン」や「強制モードか
否か」を指定できるようにするというものです。特徴は、「操作　対象　条件」を
満たした場合だけドメイン名がチェックされるため、ブラックリストに近い使い方が
可能になる点です。

アクセスされる側の視点からポリシーを書けるようにすることで、アクセスする側の
モードに関係なくパーミッションチェックを行う必要が生じるため、パーミッション
チェックのための準備（例えばアクセスしようとしているファイルのパス名を導出する
処理）を省略する「無効モード」は存在できなくなります。そこで、 TOMOYO 1.9 では
「無効モード／学習モード／確認モード／強制モード」という区別を廃止して
「強制モードか否か」だけにし、アクセス許可の追加はアクセスログから行うように
しようと考えています。 TOMOYO 1.8 で file_pattern の処理をカーネル内から
ユーザランドに移管されたのと同様に、アクセス許可の追加もユーザランドに移管
することでより柔軟な処理が可能になる筈です。

TOMOYO 1.8.x ではポリシー名前空間への対応（ reset_domain/no_reset_domain ）や
プログラムの実行許可に対するドメイン遷移先明示への対応が行われたため、ドメイン
遷移の説明をドキュメント化しきれないまでに複雑になってきていると感じています。
http://tomoyo.sourceforge.jp/1.8/policy-specification/domain-transition-procedure.html
そこで、 TOMOYO 1.9 ではドメイン遷移の指定方法も見直そうと考えています。

既存の構文に対する継ぎ接ぎ拡張で生じた無理を解消し、単純で扱いやすい仕様を
目指します。他にもいくつかありますが、ここに列挙するには長すぎますし、確定事項
でもありませんので割愛します。もしかしたら、 TOMOYO 1.9 ではなく TOMOYO 3.0 と
呼ぶべきものになるかもしれません。

[tomoyo-users 928]

早間義博 — 2011-11-08T01:59:43

早間です。

0:  1     <kernel>

tomoyo-editpolicy で第一行に表示される<kernel> のprofile number
を 1 としたところ
 file read ...
のドメインデータが大量に作成されました。
これらのドメインデータの機能はどのようなものでしょうか。

[tomoyo-users 927] tomoyo-sortpolicy

早間義博 — 2011-11-08T01:52:07

早間です。
tomoyo-tools-2.4.0_p20110929 を使用しています。

掲題のtomoyo-sortpolicy の機能ですが
  「tomoyo-sortpolicy 処理前」
のように同一ドメインが2以上ある domain_policy.conf を
tomoyo-sortpolicy で並び替えた場合 
   「tomoyo-sortpolicy 処理後」
のように
(1) 同じドメインがある場合は一つのドメインだけが残る。
(2) 上記の場合、同一のドメインに属するドメインデータは残される一つ
    のドメインに集められる。
また、一般的に、 
(3) 同一ドメイン内では重複する定義は一つだけ残し、他は削除される。
(4) 他の設定に包含されると判断されたデータは削除される。
と考えて良いですか。

tomoyo-sortpolicy 処理前
---------------------------- ここから ---------------------------
<kernel> /usr/local/bin/mycommand

file read /etc/passwd
file read /var/tmp/\*

.
.

<kernel> /usr/local/bin/mycommand

file read /tmp/\*
file read /var/tmp/mycommand.tmp
---------------------------- ここまで ---------------------------


tomoyo-sortpolicy 処理後
---------------------------- ここから ---------------------------
<kernel> /usr/local/bin/mycommand

file read /etc/passwd
file read /var/tmp/\*
file read /tmp/\*

.
.
---------------------------- ここまで ---------------------------

[tomoyo-users 921] use_ppprofile 2 の WARNING メッセージ

早間義博 — 2011-10-12T17:11:09

早間です。
kernel gentoo sys-kernel/gentoo-sources-3.0.4-r2
    tomoyo-tools-2.4 のドキュメントにあるように
    linux-3.1-rc8.tar.gz からsecurity/tomoyo/ を取り出してコピーし
ています。
    tomoyo-2.4-backport-for-3.0.patch をパッチしています。

tomoyo-tools-2.4 にしてから profile 2 での WARNING: ログが出ないの
ですが、何か指定が必要ですか。
/usr/lib/tomoyo/init_policy を実行してから変更はしていません。
<kernel>
    0: PROFILE_VERSION=20100903
    1:   0-COMMENT=-----Disabled Mode-----
    2:   0-CONFIG={ mode=disabled grant_log=no reject_log=yes }
    3:   0-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
    4:   1-COMMENT=-----Learning Mode-----
    5:   1-CONFIG={ mode=learning grant_log=no reject_log=yes }
    6:   1-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
    7:   2-COMMENT=-----Permissive Mode-----
    8:   2-CONFIG={ mode=permissive grant_log=no reject_log=yes }
    9:   2-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048}
   10:   3-COMMENT=-----Enforcing Mode-----
   11:   3-CONFIG={ mode=enforcing grant_log=no reject_log=yes }
   12:   3-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }

use_profile 2 の状態で無許可の行為が行われた場合、無許可の行為があっ
たことを知りたいのですが、log または tomoyo-notifyd による認識いず
れかを得るにはどのようにしたら良いのでしょう。

２台のホストで profile が異なる状態で同じコマンドが実行されました。
profile 1 のもとで実行した場合に
file create  /var/lib/local/pgmexe 0666
が追加されているのに
policy 2 もとでは WARNING ログも残らず、tomoyo-notifyd からのメール
も来ません。
どちらも対象となるディレクトリに対する policy はありません。
(無許可の状態です。)

profile 3 が指定されているプログラム(apache2)では policy に無いファ
イルを実行しようとして、tomoyo-notifyd からメールが来ていますが
syslog には記録されていません。

[tomoyo-users 918] tomoyo-tools-2.4

早間義博 — 2011-10-10T04:57:16

早間です。
tomoyo-tools-2.3 から 
tomoyo-tools-2.4.0_p20110929 に変更しました。
下記のことでとまどっています。
(1) file getattr
    learning mode で "file getattr" と言う policy が多量に作成され
ます。ドキュメントのどこ(1.7 1.8 2.3 2.4 2.5)を見ても説明が見
あたりません。 
    /etc/tomoyo/tools/editpolicy.conf に
    keyword_alias file getattr                  = file getattr
    とあるだけです。
    中でも
    file getattr pipe:[1433947]
    と言うタイプが大量に作成されます。

    file getattr の大量発生が quota の発動の原因となります。

    日課として domain_policy.conf の patternize を実行していますが、
    まだ続きそうです。
(2) tomoyo-editpolicy -1
    作業用に /var/tmp/policy/current/ を作成し、domain_policy.conf
    を作成し、tomoyo-editpolicy を実行したのですが
      use_profile 
    の値が 0 としての表示がされます。
     /etc/tomoyo/policy/current/profile.conf を
     /var/tmp/policy/current/ にコピーすると
     /var/tmp/policy/current/domain_policy.conf
     の use_profile が生きて来ます。
(3) tomoyo-editpolicy -2
    上記(2)でtomoyo-editpolicy を q で終了させたとき
      Failed to save policy.
    と表示され、
    変更前の policy が削除され変更後が追加されません。
    結果として 意に沿わない domain_policy.conf となります。
    /var/tmp/policy/ に /etc/tomoyo/policy と同じように
    ディレクトリ 11-10-10.12:14:06 を作成し、
     ln -s 11-10-10.12:14:06 previous
     ln -s 11-10-10.12:14:06 current
     とすると働くようです。
     current は作られて行きますが、
     previous が symlink でないと駄目なようです。
(4) symlink
   file symlink /etc/tomoyo/policy/current symlink.target="11-10-10.07:31:22/"
  と言うのが増殖しています。
   file symlink /etc/tomoyo/policy/\+\+-\+\+-\+\+.\+\+:\+\+:\+\+/
   file symlink /etc/tomoyo/policy/current symlink.target="\+\+-\+\+-\+\+.\+\+:\+\+:\+\+/"
   では o で同じパターンとは見なされません。
   「変数との比較の対象となる数値は１個の数値、数値の範囲、あるいは別の変数です」
   この定義に沿ってどのような値を指定すれば良いのでしょう。

[tomoyo-users 912] ポリシーエディタでのポリシーチューニングの手順について

Toshiharu Harada — 2011-10-04T03:53:27

メーリングリストなのに、内容が完全に半田さんへの質問になっているのが
何ですが、忘れないうちに質問です。

ポリシーエディタの中で、ワイルドカードを登録しようとする際に、
以下の手順で行うと思います。

・対象となる行にカーソルを合わせる
・INSキーで行を複写する
・aキーで追加入力を行う
・上矢印で対象行を呼び出す（貼り付ける）
・呼び出した行を編集して登録（リターン）する
・追加した行を探す
・oキーでマッチする範囲を表示させる
・確認した上、dキーで削除する

ここで、可能であれば対象となる行にカーソルを置いた状態で、
いきなり5行目の編集状態に入ることができると便利だと思うのですが、
実現可能でしょうか？

[tomoyo-users 909] 条件付きアクセス許可の仕様について

Toshiharu Harada — 2011-10-04T03:18:35

条件付きアクセス許可の仕様について、ふと疑問に思ったので
質問します。

http://tomoyo.sourceforge.jp/1.8/chapter-10.html

コマンドライン引数を条件としたポリシーを書く際に、
exec.argv[n]の値と等しい、等しくないと
いう形で記述します。

引数の順番が決まっているときは、argv[1]から順に条件を
列挙すれば良いのですが、順番が可変の場合も存在するので、

exec.argv-match="-v" （コマンドライン引数に"-v"が含まれている）
exec.argv -match="-d /tmp"

のように書けると便利ではないかと思ったのですが
どうでしょうか？