Tetsuo Handa
from-****@I-lov*****
2011年 10月 13日 (木) 06:46:36 JST
早間義博さんは書きました: > tomoyo-tools-2.4 にしてから profile 2 での WARNING: ログが出ないの > ですが、何か指定が必要ですか。 まず、他の読者の混乱を避けるために、カーネル側とユーザランド側の区別を はっきりしたいと思います。 tomoyo-tools は、ユーザランド側のプログラムです。 TOMOYO 2.2 の TOMOYO-WARNING: や TOMOYO 2.3 の WARNING: は、カーネル側の プログラムが出力しているメッセージです。 TOMOYO 2.4 で WARNING: が出ないのは、 ログの洪水を避けるために出力しない仕様に変更されたからです。 tomoyo-tools-2.4 をインストールしたから出ないのではなく、 TOMOYO 2.4 対応のカーネルを利用しているから出ないのです。 > use_profile 2 の状態で無許可の行為が行われた場合、無許可の行為があっ > たことを知りたいのですが、log または tomoyo-notifyd による認識いず > れかを得るにはどのようにしたら良いのでしょう。 TOMOYO 2.4 以降では、ポリシーに違反したアクセス要求のログは /sys/kernel/security/tomoyo/audit に出力されます。 /usr/sbin/tomoyo-auditd を 実行することにより、 use_profile 2 で発生したポリシーに違反したアクセス要求の ログは /var/log/tomoyo/reject_002.log に保存されます。この設定は /etc/tomoyo/tools/auditd.conf で指定できます。 > 2台のホストで profile が異なる状態で同じコマンドが実行されました。 > profile 1 のもとで実行した場合に > file create /var/lib/local/pgmexe 0666 > が追加されているのに > policy 2 もとでは WARNING ログも残らず、tomoyo-notifyd からのメール > も来ません。 > どちらも対象となるディレクトリに対する policy はありません。 > (無許可の状態です。) /usr/sbin/tomoyo-queryd や /usr/sbin/tomoyo-notifyd は強制モード(デフォルト 設定では use_profile 3 )で発生したポリシー違反を通知するためのものです。 強制モードで発生したポリシーに違反したアクセス要求のログは、 ( /usr/sbin/tomoyo-queryd や /usr/sbin/tomoyo-notifyd が動作している場合、) /sys/kernel/security/tomoyo/query にも出力されます。 強制モードではない場合、 /sys/kernel/security/tomoyo/query には出力されない ため、 /usr/sbin/tomoyo-queryd と /usr/sbin/tomoyo-notifyd は何もしません。
TOMOYO
Fork