From takedakn @ nttdata.co.jp Fri Aug 8 10:37:31 2008 From: takedakn @ nttdata.co.jp (Kentaro Takeda) Date: Fri, 08 Aug 2008 10:37:31 +0900 Subject: [Tomoyo-dev 870] =?iso-2022-jp?b?GyRCTEBGfDMrOkUkThsoQk9TQxskQkw+OEUyMCRLOzIbKEI=?= =?iso-2022-jp?b?GyRCMkMkNyReJDkbKEI=?= Message-ID: <489BA35B.5010409@nttdata.co.jp> 武田です。 熊猫先生と武田は、明日名古屋市立大学にて開催される オープンソースカンファレンス2008名古屋に ブース展示と講演で参加します。 http://www.ospn.jp/osc2008-nagoya/ 講演は14:00〜14:45@204教室で実施予定です。 http://www.ospn.jp/osc2008-nagoya/modules/eguide/event.php?eid=11 プロジェクトとしては昨年11月の関西オープンソース2007以来の 東京以外での講演で、OSS公開から考えると名古屋での講演はこれが初めてです。 お近くの方はぜひお越しください。 -- 武田健太郎 From takedakn @ nttdata.co.jp Mon Aug 11 17:47:20 2008 From: takedakn @ nttdata.co.jp (Kentaro Takeda) Date: Mon, 11 Aug 2008 17:47:20 +0900 Subject: [Tomoyo-dev 871] =?iso-2022-jp?b?T1NDGyRCTD44RTIwJEs7MjJDJDckRiQtJF4kNyQ/GyhC?= In-Reply-To: <489BA35B.5010409@nttdata.co.jp> References: <489BA35B.5010409@nttdata.co.jp> Message-ID: <489FFC98.6060103@nttdata.co.jp> 武田です。 OSC名古屋にご参加いただいたみなさま、ありがとうございました。 講演資料は以下のURLにアップロード済みです。 http://sourceforge.jp/projects/tomoyo/document/osc2008nagoya.pdf また、今回tomoyo-devのmappy田中さんから素敵なフライヤーをいただき、 ブースで使用させていただきました。ブースの写真はWikiページにアップロードしています。 http://tomoyo.sourceforge.jp/wiki/?Gallery OSS公開以来、東海地区での発表は初めてでしたが、 デモをお見せしたときは皆さん興味津津の様子でした(自画自賛)。 行った甲斐がありました。 東京以外でのイベント参加は今後も積極的にやっていきたいですね。 -- 武田健太郎 From takedakn @ nttdata.co.jp Wed Aug 13 14:02:42 2008 From: takedakn @ nttdata.co.jp (Kentaro Takeda) Date: Wed, 13 Aug 2008 14:02:42 +0900 Subject: [Tomoyo-dev 872] =?iso-2022-jp?b?W1JGQ10gdXNlX3Byb2ZpbGUbJEIkThsoQmlmGyRCSjgbKEI=?= =?iso-2022-jp?b?GyRCJTUlXSE8JUgbKEI=?= Message-ID: <48A26AF2.2000206@nttdata.co.jp> 武田です。 SELinuxで最近よく聞く「KIOSKパソコン」について、 TOMOYOで実装しようとするとどうなるのかを考えていたところ、 use_profileにもif文が使えれば便利じゃないかと思えてきました。 uidが0のときは無効、それ以外は強制、という感じで、 ドメインのモード(プロファイル)をuid(やその他属性)で 一気に切り替えられるというのはどうでしょう? 個別のアクセス許可でif文を駆使してユーザIDによる変化をつけるよりも、 ユーザIDでドメインのモードが異なる、というほうがすっきり書ける気がする。 どんなもんでしょ? -- 武田健太郎 From takedakn @ nttdata.co.jp Tue Aug 26 19:32:59 2008 From: takedakn @ nttdata.co.jp (Kentaro Takeda) Date: Tue, 26 Aug 2008 19:32:59 +0900 Subject: [Tomoyo-dev 873] Re: =?iso-2022-jp?b?VWJ1bnR1IDguMDQuMSArIFRPTU9ZTyAxLjYuMyBMaXZl?= =?iso-2022-jp?b?Q0QbJEIkcjh4MyskNyReJDckPxsoQg==?= In-Reply-To: <48916AFA.4020408@nttdata.co.jp> References: <48916AFA.4020408@nttdata.co.jp> Message-ID: <48B3DBDB.6070904@nttdata.co.jp> みなさんごきげんよう、武田です。 Ubuntu 8.04.1のカーネルが2.6.24-19.41にアップデートされたので、 LiveCDも追従しました。その他各種パッケージも本日の最新版に アップデートしています。いつものようにチュートリアルドキュメントも 同梱していますので、CDに焼いて起動するだけで、既存の環境に影響を与えず TOMOYO Linuxを体験することができます。 日本語ページ: http://tomoyo.sourceforge.jp/wiki/?TomoyoLive 英語ページ: http://tomoyo.sourceforge.jp/wiki-e/?TomoyoLive (ファイルへの直リンク) 本家Desktopベース: http://tomoyo.sourceforge.jp/incoming/ubuntu-8.04.1-desktop-i386-tomoyo-1.6.3.iso 日本語ローカライズドDesktopベース: http://tomoyo.sourceforge.jp/incoming/ubuntu-ja-8.04.1-desktop-i386-tomoyo-1.6.3.iso MD5SUMは以下のとおりです。 1cb18a7e88a5cfb349deb407b19e0ca0 ubuntu-8.04.1-desktop-i386-tomoyo-1.6.3.iso 4dc104ba9f3f7ae11cd2f5b403f0c0eb ubuntu-ja-8.04.1-desktop-i386-tomoyo-1.6.3.iso -- 武田健太郎 From from-tomoyo-dev @ I-love.SAKURA.ne.jp Tue Aug 26 21:54:47 2008 From: from-tomoyo-dev @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Tue, 26 Aug 2008 21:54:47 +0900 Subject: [Tomoyo-dev 874] =?iso-2022-jp?b?GyRCJV0laiU3ITwlVSUhJSQlayRySiwzZCQ3JEY0SU19GyhC?= =?iso-2022-jp?b?GyRCJDkka0p9SyEkSyREJCQkRhsoQg==?= Message-ID: <200808262154.CIH17101.SZtPPGFPNPNWEtU@I-love.SAKURA.ne.jp>  熊猫です。  出来合いのポリシーをパッケージとして配布するのを容易にするために、 /etc/ccs/ 以下のポリシーファイルを「パッケージによりインストールされたもの」と 「ユーザの作業により作成されたもの」の2つに分割してみてはどうかという実験を しています。  現在のポリシーファイルは、 /etc/ccs/system_policy.conf /etc/ccs/exception_policy.conf /etc/ccs/domain_policy.conf /etc/ccs/profile.conf /etc/ccs/manager.conf の5つですが、このままだと rpm や deb を使ってポリシーをインストール/ アンインストールする際に、個々のアプリケーションの部分だけを挿入/除去できない という問題があります。そのため、これらのポリシーファイルを パッケージ用            ユーザ操作用 /etc/ccs/base_system_policy.conf /etc/ccs/system_policy.conf /etc/ccs/base_exception_policy.conf /etc/ccs/exception_policy.conf /etc/ccs/base_domain_policy.conf /etc/ccs/domain_policy.conf /etc/ccs/base_profile.conf /etc/ccs/profile.conf /etc/ccs/base_manager.conf /etc/ccs/manager.conf のように分割してみました。個々のアプリケーション用のポリシーを 例えば /etc/ccs/conf.d/ のようなディレクトリ以下に配置し、 rpm や deb でインストール/アンインストールした際には cat /etc/ccs/conf.d/system_*.conf > /etc/ccs/base_system_policy.conf cat /etc/ccs/conf.d/exception_*.conf > /etc/ccs/base_exception_policy.conf cat /etc/ccs/conf.d/domain_*.conf > /etc/ccs/base_domain_policy.conf cat /etc/ccs/conf.d/profile_*.conf > /etc/ccs/base_profile.conf cat /etc/ccs/conf.d/manager_*.conf > /etc/ccs/base_manager.conf という操作により更新します。 そして、 ccs-tools パッケージは /etc/ccs/base_\*.conf を読み取り専用として 利用し、 /proc/ccs/\* との差分だけを /etc/ccs/\*.conf\-base_\*.conf に 読み書き用として保存します。 /sbin/ccs-init や ccs-loadpolicy や ccs-editpolicy などは /etc/ccs/system_policy.conf の前に /etc/ccs/base_system_policy.conf を、 /etc/ccs/exception_policy.conf の前に /etc/ccs/base_exception_policy.conf を、 /etc/ccs/domain_policy.conf の前に /etc/ccs/base_domain_policy.conf を、 /etc/ccs/profile.conf の前に /etc/ccs/base_profile.conf を、 /etc/ccs/manager.conf の前に /etc/ccs/base_manager.conf を 読み込むようにします。また、 ccs-savepolicy などは /proc/ccs/system_policy から /etc/ccs/base_system_policy.conf を 引いたものを /etc/ccs/system_policy.conf に、 /proc/ccs/exception_policy から /etc/ccs/base_exception_policy.conf を 引いたものを /etc/ccs/exception_policy.conf に、 /proc/ccs/domain_policy から /etc/ccs/base_domain_policy.conf を 引いたものを /etc/ccs/domain_policy.conf に、 /proc/ccs/profile から /etc/ccs/base_profile.conf を引いたものを /etc/ccs/profile.conf に、 /proc/ccs/manager から /etc/ccs/base_manager.conf を引いたものを /etc/ccs/manager.conf に保存するようにします。 例えば、 /proc/ccs/domain_policy の内容が allow_execute /sbin/init allow_execute /sbin/modprobe use_profile 1 となっており、 /etc/ccs/base_domain_policy.conf の内容が allow_execute /sbin/init allow_execute /sbin/hotplug use_profile 1 /sbin/init use_profile 1 となっていた場合、 ccs-savepolicy は /etc/ccs/domain_policy.conf を delete /sbin/init delete allow_execute /sbin/hotplug allow_execute /sbin/modprobe という内容で保存するようになります。 この状態で ccs-init や ccs-editpolicy や ccs-loadpolicy が /etc/ccs/base_domain_policy.conf → /etc/ccs/domain_policy.conf の順に 読み込むことで、 /proc/ccs/domain_policy の内容を復元できます。 ちょうど、 LDAP の LDIF 形式で変更点(差分)だけを記述して読み込ませるイメージ です。(と書かれても困ると思いますが、何故か TOMOYO Linux の操作は ldapmodify コマンドによる LDAP 操作と似ているようです。) ccs-loadpolicy や ccs-savepolicy で標準入力から読み込む/標準出力へ書き出す 場合には /etc/ccs/base_\*.conf を無視すべきかどうか迷っています。 とりあえずリビジョン 1485 では /etc/ccs/base_\*.conf を無視する仕様に しています。 ccs-savepolicy -d の場合に /etc/ccs/base_domain_policy.conf の 内容を減算してくれると便利な場合もあるかもしれませんが、 ccs-loadpolicy -d の 場合に /etc/ccs/base_domain_policy.conf の内容を加算してしまうと、せっかく /etc/ccs/domain_policy.conf により消去されたエントリ(上の例では allow_execute /sbin/hotplug )が復活してしまうので、 ccs-loadpolicy -d の場合には /etc/ccs/base_domain_policy.conf を加算すべきでは ないと考えて、 ccs-savepolicy -d の場合にも /etc/ccs/base_domain_policy.conf を 減算しないようにしました。  リリースは9/3を予定しています。期間が短いですが、何かご意見やご質問が ありましたら返信ください。 From henrich @ debian.or.jp Fri Aug 29 18:25:28 2008 From: henrich @ debian.or.jp (Hideki Yamane) Date: Fri, 29 Aug 2008 18:25:28 +0900 Subject: [Tomoyo-dev 875] Re: =?iso-2022-jp?b?GyRCJV0laiU3ITwlVSUhJSQlayRySiwzZCQ3JEYbKEI=?= =?iso-2022-jp?b?GyRCNElNfSQ5JGtKfUshJEskRCQkJEYbKEI=?= In-Reply-To: <200808262154.CIH17101.SZtPPGFPNPNWEtU@I-love.SAKURA.ne.jp> References: <200808262154.CIH17101.SZtPPGFPNPNWEtU@I-love.SAKURA.ne.jp> Message-ID: <20080829182528.f4401a54.henrich@debian.or.jp> On Tue, 26 Aug 2008 21:54:47 +0900 Tetsuo Handa wrote: >  リリースは9/3を予定しています。期間が短いですが、何かご意見やご質問が > ありましたら返信ください。  ちょっと急過ぎてどう判断したものか、何とも言えません。  必要とされるものと、実装する方向性はあっていると思います。  やり方が適当かどうかについてはパスです。 -- Regards, Hideki Yamane henrich @ debian.or.jp/iijmio-mail.jp http://wiki.debian.org/HidekiYamane From henrich @ debian.or.jp Fri Aug 29 18:57:55 2008 From: henrich @ debian.or.jp (Hideki Yamane) Date: Fri, 29 Aug 2008 18:57:55 +0900 Subject: [Tomoyo-dev 876] Re: =?iso-2022-jp?b?YXB0IBskQiVsJV0lOCVIJWobKEI=?= In-Reply-To: <9292c1390807280538p13aafe19y526a2749011ef8a9@mail.gmail.com> References: <200709210643.l8L6hvAw076555@www262.sakura.ne.jp> <20071013155241.616f92e4.henrich@debian.or.jp> <200807252004.JDE69755.FEtPGWPUPtNNSZP@I-love.SAKURA.ne.jp> <20080726184505.3b2be3d0.henrich@debian.or.jp> <200807271036.GIH86950.WNFNEPtPZUPSGtP@I-love.SAKURA.ne.jp> <20080728164639.36cecdbb.henrich@debian.or.jp> <9292c1390807280538p13aafe19y526a2749011ef8a9@mail.gmail.com> Message-ID: <20080829185755.431fffeb.henrich@debian.or.jp> On Mon, 28 Jul 2008 21:38:45 +0900 hito wrote: > ubuntu-jaはdput+mini-dinstallで回してます。 > 今回だとこれそのまま↓でいいかと。 > http://blog.goo.ne.jp/ikunya/e/b5f1d0b7b0e7b77c781ff6557d59353a > > 実際のアーカイブを見ながらだとイメージしやすいと思いますが、 > http://archive-ashisuto.ubuntulinux.jp/ubuntu-ja/hardy/ >  ・dputするファイルをテンポラリ領域に配置 >  ・dputでパッケージファイルをダウンロード場所に配置し、さらにPackages >   ファイルを作る。 >  ・mini-dinstallを回してPackagesのハッシュ値を含むReleaseファイル >   作って、さらにReleaseファイルにサインしてRelease.gpg作る。 > という作業をします(作業者的にはdputとmini-dinstall -rするだけ)。 > > インストール時にはこの逆順に、 >  ReleaseファイルをRelease.gpg使って検証 >    ↓ >  Packagesのハッシュチェック >    ↓ >  実際のパッケージのハッシュチェック > が行われます。この辺はyumリポジトリと大差ありません。  どこかで暇を見つけてこの辺作業してみます。    #が、暇なはずなのに色々積み上げられたものが… orz   みんなどうやって処理してるのか不思議不思議。 -- Regards, Hideki Yamane henrich @ debian.or.jp/iijmio-mail.jp http://wiki.debian.org/HidekiYamane From henrich @ debian.or.jp Fri Aug 29 19:40:15 2008 From: henrich @ debian.or.jp (Hideki Yamane) Date: Fri, 29 Aug 2008 19:40:15 +0900 Subject: [Tomoyo-dev 877] Re: Avoiding gcc bug In-Reply-To: <20080728164532.f3cdeb3d.henrich@debian.or.jp> References: <87d4l951uq.fsf@gmail.com> <200807201107.FHI21385.NPPPEtSNtGFZUPW@I-love.SAKURA.ne.jp> <20080726184620.7bbd2275.henrich@debian.or.jp> <200807271017.EAF28474.UNtEtGPSNPPWFPZ@I-love.SAKURA.ne.jp> <20080728164532.f3cdeb3d.henrich@debian.or.jp> Message-ID: <20080829194015.cf5cd96a.henrich@debian.or.jp> On Mon, 28 Jul 2008 16:45:32 +0900 Hideki Yamane wrote: > > 1.6.4 で修正しますが、急ぐべきならばこの部分を > > 修正したものを 1.6.3 として再リリースしたいと思います。 > >  Debian 的には lenny が完全フリーズになってしまったので、 >  急ぎません。    どうやら lenny リリースは順調に遅れているようなので ;-)、この部分  だけ修正でも押し込める、かなぁ…という具合です。出来れば簡単に修正  内容を英文で頂ければ、Release Manager への依頼が楽になります :-) >  #lenny は色々悔いが残るリリースになってしまいそう。 >   それもこれも人的リソースが足りないからなんですが。  押して引いて…としてますが、なかなか相手も頑固なので辛いところです。  メンテナにだんまりされると困りますねぇ。  #ちなみにどんなことやってるかは http://wiki.debian.org/L10n/Japanese   あたりで垣間見えます。 -- Regards, Hideki Yamane henrich @ debian.or.jp/iijmio-mail.jp http://wiki.debian.org/HidekiYamane From hitoht @ gmail.com Sat Aug 30 22:02:53 2008 From: hitoht @ gmail.com (hito) Date: Sat, 30 Aug 2008 22:02:53 +0900 Subject: [Tomoyo-dev 878] Re: =?iso-2022-jp?b?GyRCJV0laiU3ITwlVSUhJSQlayRySiwzZCQ3JEYbKEI=?= =?iso-2022-jp?b?GyRCNElNfSQ5JGtKfUshJEskRCQkJEYbKEI=?= In-Reply-To: <200808262154.CIH17101.SZtPPGFPNPNWEtU@I-love.SAKURA.ne.jp> References: <200808262154.CIH17101.SZtPPGFPNPNWEtU@I-love.SAKURA.ne.jp> Message-ID: <9292c1390808300602u7c2f5034kff4e198b7f12dd14@mail.gmail.com> > 出来合いのポリシーをパッケージとして配布するのを容易にするために、 > /etc/ccs/ 以下のポリシーファイルを「パッケージによりインストールされたもの」と > 「ユーザの作業により作成されたもの」の2つに分割してみてはどうかという実験を > しています。 これそのもの(そして実装そのもの)には賛成しますが、以下のように同じ ディレクトリに「ユーザが触るべきもの」と「触るべきでないもの」が同じ拡張子で 置いてあると習熟に支障を来しそうだと考えます。 > という問題があります。そのため、これらのポリシーファイルを > > パッケージ用            ユーザ操作用 > /etc/ccs/base_system_policy.conf /etc/ccs/system_policy.conf > /etc/ccs/base_exception_policy.conf /etc/ccs/exception_policy.conf > /etc/ccs/base_domain_policy.conf /etc/ccs/domain_policy.conf > /etc/ccs/base_profile.conf /etc/ccs/profile.conf > /etc/ccs/base_manager.conf /etc/ccs/manager.conf > > のように分割してみました。個々のアプリケーション用のポリシーを パッケージ用に割り当てる部分は .conf を付けない等、何かしら 「触るな」感をパスから醸し出すことはできるでしょうか? From from-tomoyo-dev @ I-love.SAKURA.ne.jp Sun Aug 31 11:51:04 2008 From: from-tomoyo-dev @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Sun, 31 Aug 2008 11:51:04 +0900 Subject: [Tomoyo-dev 879] Re: =?iso-2022-jp?b?GyRCJV0laiU3ITwlVSUhJSQlayRySiwzZCQ3JEYbKEI=?= =?iso-2022-jp?b?GyRCNElNfSQ5JGtKfUshJEskRCQkJEYbKEI=?= In-Reply-To: <9292c1390808300602u7c2f5034kff4e198b7f12dd14@mail.gmail.com> References: <200808262154.CIH17101.SZtPPGFPNPNWEtU@I-love.SAKURA.ne.jp> <9292c1390808300602u7c2f5034kff4e198b7f12dd14@mail.gmail.com> Message-ID: <200808311151.DAF56254.PNPWEtGSUNPZPtF@I-love.SAKURA.ne.jp>  熊猫です。 hito さんは書きました: > > 出来合いのポリシーをパッケージとして配布するのを容易にするために、 > > /etc/ccs/ 以下のポリシーファイルを「パッケージによりインストールされたもの」と > > 「ユーザの作業により作成されたもの」の2つに分割してみてはどうかという実験を > > しています。 > > これそのもの(そして実装そのもの)には賛成しますが、以下のように同じ > ディレクトリに「ユーザが触るべきもの」と「触るべきでないもの」が同じ拡張子で > 置いてあると習熟に支障を来しそうだと考えます。 > なるほど。では、「触るべきでないもの」(出来合いのポリシー)用には ( base_ というプレフィックスを使うのではなく)拡張子を .conf から .base に 変更するのはどうでしょう? 先日、 Mandriva 2008.1 で TOMOYO 1.6.3 が使えるようになりました。 http://tomoyo.sourceforge.jp/en/1.6.x/1st-step/mandriva2008.1/ Mandriva さんとのやり取りの中で、 ccs-tools rpm の filelist 中に /etc/ccs/ ディレクトリを含めたいとのコメントがありました。 現状、 /sbin/ccs-init は /etc/ccs/ ディレクトリの有無で有効/無効の判断を しているため、 rpm のインストールにより /etc/ccs/ ディレクトリが 自動作成される仕様だと、誤って /usr/lib/ccs/init_policy.sh を実行しないまま シャットダウン操作を行った場合に /dev/console からの入力待ちで止まってしまい 操作不能に陥るという問題が生じてしまいます。 これは、何かの問題により /etc/ccs/profile.conf が消滅してしまった場合に ユーザに「無効モードで起動してよいのか」の確認をするために /etc/ccs/ ディレクトリの存在の有無で判断するようにしているためです。 上記のコメントに対応するために、 /etc/ccs/ ではなく /etc/ccs/profile.conf の 有無で判断する方法も可能ですが、どうでしょう? From hitoht @ gmail.com Sun Aug 31 19:35:55 2008 From: hitoht @ gmail.com (hito) Date: Sun, 31 Aug 2008 19:35:55 +0900 Subject: [Tomoyo-dev 880] Re: =?iso-2022-jp?b?GyRCJV0laiU3ITwlVSUhJSQlayRySiwzZCQ3JEYbKEI=?= =?iso-2022-jp?b?GyRCNElNfSQ5JGtKfUshJEskRCQkJEYbKEI=?= In-Reply-To: <200808311151.DAF56254.PNPWEtGSUNPZPtF@I-love.SAKURA.ne.jp> References: <200808262154.CIH17101.SZtPPGFPNPNWEtU@I-love.SAKURA.ne.jp> <9292c1390808300602u7c2f5034kff4e198b7f12dd14@mail.gmail.com> <200808311151.DAF56254.PNPWEtGSUNPZPtF@I-love.SAKURA.ne.jp> Message-ID: <9292c1390808310335t5360eb13ta3de2abb2874a5a0@mail.gmail.com> >> > 出来合いのポリシーをパッケージとして配布するのを容易にするために、 >> > /etc/ccs/ 以下のポリシーファイルを「パッケージによりインストールされたもの」と >> > 「ユーザの作業により作成されたもの」の2つに分割してみてはどうかという実験を >> > しています。 >> >> これそのもの(そして実装そのもの)には賛成しますが、以下のように同じ >> ディレクトリに「ユーザが触るべきもの」と「触るべきでないもの」が同じ拡張子で >> 置いてあると習熟に支障を来しそうだと考えます。 >> > なるほど。では、「触るべきでないもの」(出来合いのポリシー)用には > ( base_ というプレフィックスを使うのではなく)拡張子を .conf から .base に > 変更するのはどうでしょう? なるほど。 grobすることを前提にすると拡張子.baseの方が便利そうですね。気になるのは 「それ拡張子でいいの?」ということです。 自分は古代のUnix使い+現代的Windows使いのセンスなので、違和感はないですが、 .baseという拡張子に違和感を感じる人はいらっしゃいますか? > とくにやまねさんとか > 先日、 Mandriva 2008.1 で TOMOYO 1.6.3 が使えるようになりました。 > http://tomoyo.sourceforge.jp/en/1.6.x/1st-step/mandriva2008.1/ > Mandriva さんとのやり取りの中で、 ccs-tools rpm の filelist 中に > /etc/ccs/ ディレクトリを含めたいとのコメントがありました。 こちらは副作用を予測できませんが、installed fileとしての考え方から すると、RPMのfilelistに足すことではなく、 > 上記のコメントに対応するために、 /etc/ccs/ ではなく /etc/ccs/profile.conf の > 有無で判断する方法も可能ですが、どうでしょう? こちらの方が安全のような気がします。 From from-tomoyo-dev @ I-love.SAKURA.ne.jp Sun Aug 31 20:36:30 2008 From: from-tomoyo-dev @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Sun, 31 Aug 2008 20:36:30 +0900 Subject: [Tomoyo-dev 881] Re: =?iso-2022-jp?b?GyRCJV0laiU3ITwlVSUhJSQlayRySiwzZCQ3JEYbKEI=?= =?iso-2022-jp?b?GyRCNElNfSQ5JGtKfUshJEskRCQkJEYbKEI=?= In-Reply-To: <9292c1390808310335t5360eb13ta3de2abb2874a5a0@mail.gmail.com> References: <200808262154.CIH17101.SZtPPGFPNPNWEtU@I-love.SAKURA.ne.jp> <9292c1390808300602u7c2f5034kff4e198b7f12dd14@mail.gmail.com> <200808311151.DAF56254.PNPWEtGSUNPZPtF@I-love.SAKURA.ne.jp> <9292c1390808310335t5360eb13ta3de2abb2874a5a0@mail.gmail.com> Message-ID: <200808312036.DFB13517.WEZPPGtFSPtPNUN@I-love.SAKURA.ne.jp>  熊猫です。 > grobすることを前提にすると拡張子.baseの方が便利そうですね。気になるのは > 「それ拡張子でいいの?」ということです。 ( grob ? glob ? 両方ある?) cat /etc/ccs/conf.d/domain_*.base > /etc/ccs/domain_policy.base みたいに? > > 上記のコメントに対応するために、 /etc/ccs/ ではなく /etc/ccs/profile.conf の > > 有無で判断する方法も可能ですが、どうでしょう? > > こちらの方が安全のような気がします。 > 出来合いのポリシーを /etc/ccs/ 以下に conf.d/ のようなのを作って配置する場合、 出来合いのポリシーをインストールすることによって ( init_policy.sh を実行しなくても)自動的に /etc/ccs/ が作成されてしまうため 現在の仕様だとシャットダウンできなくなる可能性が生じますので、 (出来合いのポリシーを /etc/ccs/ 以下に置くのであれば) /etc/ccs/ ではなく /etc/ccs/profile.conf の有無でチェックすることが必須になりますね。 でも、 /etc/ccs/profile.conf は SELinux でいう /etc/sysconfig/selinux (つまり /etc/selinux/config )相当のファイルですから、このファイルが存在しない場合に ユーザに確認することなく無効モードとして処理を継続してしまって良いのかどうか という疑問はありますけれど。