From numaguchid @ nttdata.co.jp Mon Jun 1 15:06:27 2009 From: numaguchid @ nttdata.co.jp (numaguchid @ nttdata.co.jp) Date: Mon, 1 Jun 2009 15:06:27 +0900 Subject: [Tomoyo-dev 1082] =?iso-2022-jp?b?Q2VudE9TNS4zICsgVE9NT1lPIExpbnV4IDEuNi44IExpdmVD?= =?iso-2022-jp?b?RBskQiRyOHgzKyQ3JF4kNyQ/GyhC?= Message-ID: <50423FA5091C8749BF8E8C0C86487867154FBD21@MAILSV22.msg.nttdata.co.jp> 沼口です。 TOMOYO Linux 1.6.8 に対応したCentOS 5.3ベースのLiveCDを公開しました。 お試しください。 ●CentOS LiveCDリンク ハッシュ値は以下の通りです。 *MD5SUM 4f78eee08294a484495ed992b51eca20 CentOS-5.3-i386-TOMOYO-1.6.8-LiveCD.iso *SHA1SUM 347ffbed986dd860ba42545217078fd054320c48 CentOS-5.3-i386-TOMOYO-1.6.8-LiveCD.iso *SHA256SUM fc290df195ab88b93482b0d56c7815ec5f3473992654c1ea19058488c84f3835 CentOS-5.3-i386-TOMOYO-1.6.8-LiveCD.iso 以上です。 --- 沼口大輔 numaguchid @ nttdata.co.jp From hitoht @ gmail.com Wed Jun 3 18:45:36 2009 From: hitoht @ gmail.com (hitoht @ gmail.com) Date: Wed, 03 Jun 2009 18:45:36 +0900 Subject: [Tomoyo-dev 1083] =?iso-2022-jp?b?TFNNIFRPTU9ZTyBmb3IgVWJ1bnR1IDkuMTAgKFJlOiBVYnVu?= =?iso-2022-jp?b?dHUgGyRCOkc9KjdoQG8bKEIgYXQgGyRCS1w2PxsoQik=?= In-Reply-To: <87d4alk3o3.wl%hitoht@gmail.com> References: <49C8B0D9.9000203@nttdata.co.jp> <87y6uvi4xo.wl%hitoht@gmail.com> <200905010109.n4119Ea2032626@www262.sakura.ne.jp> <49FA4CD5.7010505@nttdata.co.jp> <9292c1390905010146q47d3ceavd7f0a6e785f9db6f@mail.gmail.com> <200905012117.AGB69768.tZPWPNNtUPGESFP@I-love.SAKURA.ne.jp> <87d4alk3o3.wl%hitoht@gmail.com> Message-ID: <87oct5y7jz.wl%hitoht@gmail.com> > > > alphaリリースかかる前までに「副作用ないしMACとしての選択肢にもなるし > > > VFSプロファイラとして使えるを。=yにするお」とかバグレポしとくとenableに > > > される気がするです。 びみょーに予定とは異なってますが、わりと順調に進んでいます。 Alpha2 or 3ではLSM版が使えるようになると思います。 詳細はもうしばらくお待ちを。 From haradats @ gmail.com Thu Jun 4 00:17:21 2009 From: haradats @ gmail.com (Toshiharu Harada) Date: Thu, 4 Jun 2009 00:17:21 +0900 Subject: [Tomoyo-dev 1084] Re: =?iso-2022-jp?b?TFNNIFRPTU9ZTyBmb3IgVWJ1bnR1IDkuMTAgKFJlOiBV?= =?iso-2022-jp?b?YnVudHUgGyRCOkc9KjdoQG8bKEIgYXQgGyRCS1w2PxsoQik=?= In-Reply-To: <87oct5y7jz.wl%hitoht@gmail.com> References: <49C8B0D9.9000203@nttdata.co.jp> <87y6uvi4xo.wl%hitoht@gmail.com> <200905010109.n4119Ea2032626@www262.sakura.ne.jp> <49FA4CD5.7010505@nttdata.co.jp> <9292c1390905010146q47d3ceavd7f0a6e785f9db6f@mail.gmail.com> <200905012117.AGB69768.tZPWPNNtUPGESFP@I-love.SAKURA.ne.jp> <87d4alk3o3.wl%hitoht@gmail.com> <87oct5y7jz.wl%hitoht@gmail.com> Message-ID: <9d732d950906030817x42a83f4ufcffdd1bfecb327b@mail.gmail.com> hitoさん、 本日、@ITさん勉強会に参加のため返事が遅くなりました。 2009/06/03 18:45 : >> > > alphaリリースかかる前までに「副作用ないしMACとしての選択肢にもなるし >> > > VFSプロファイラとして使えるを。=yにするお」とかバグレポしとくとenableに >> > > される気がするです。 > > びみょーに予定とは異なってますが、わりと順調に進んでいます。 > > Alpha2 or 3ではLSM版が使えるようになると思います。 > 詳細はもうしばらくお待ちを。 状況のご連絡、ありがとうございました。ご協力感謝します。 使い方などドキュメントの追加が必要になるかも しれませんね。引き続きどうぞよろしくお願い致します。 -- Toshiharu Harada haradats @ gmail.com From numaguchid @ nttdata.co.jp Fri Jun 5 20:50:30 2009 From: numaguchid @ nttdata.co.jp (numaguchid @ nttdata.co.jp) Date: Fri, 5 Jun 2009 20:50:30 +0900 Subject: [Tomoyo-dev 1085] =?iso-2022-jp?b?VWJ1bnR1IDguMDQuMiArIFRPTU9ZTyBMaW51eCAxLjYuOCBM?= =?iso-2022-jp?b?aXZlQ0QbJEIkcjh4MyskNyReJDckPxsoQg==?= Message-ID: <50423FA5091C8749BF8E8C0C86487867156B0072@MAILSV22.msg.nttdata.co.jp> 沼口です。 TOMOYO Linux 1.6.8に対応したUbuntu 8.04.2ベースのLiveCDを公開しました。 お試しください。 ●Ubuntu 8.04.2 LiveCD リンク 本家DesktopCDベース: http://tomoyo.sourceforge.jp/incoming/ubuntu-8.04.2-desktop-i386-tomoyo-1.6. 8.iso 日本語RemixCDベース: http://tomoyo.sourceforge.jp/incoming/ubuntu-ja-8.04.2-desktop-i386-tomoyo-1 .6.8.iso ハッシュ値は以下の通りです。 *MD5SUM d99c279faedb5c7aa3cbeae740060110 ubuntu-8.04.2-desktop-i386-tomoyo-1.6.8.iso 55e626c9605ab8efc588b00c73350016 ubuntu-ja-8.04.2-desktop-i386-tomoyo-1.6.8.iso *SHA1SUM 54e06b82b00e8a8fb2406c3be4fdeea307de4f3c ubuntu-8.04.2-desktop-i386-tomoyo-1.6.8.iso 268e0c663ef64a21370501f8308bdbe0527fed7c ubuntu-ja-8.04.2-desktop-i386-tomoyo-1.6.8.iso *SHA256SUM 3e9f0b55e06ad7c51f1b5e7bd9c60dcfb599c6604519c26c5ab00f950bd24bb1 ubuntu-8.04.2-desktop-i386-tomoyo-1.6.8.iso 42d39b03a17f6f8c8eb0cc421bcc023d3553edec8017590898ed6a5ceb5792f2 ubuntu-ja-8.04.2-desktop-i386-tomoyo-1.6.8.iso 以上です。 --- 沼口大輔 numaguchid @ nttdata.co.jp From from-tomoyo-dev @ I-love.SAKURA.ne.jp Sun Jun 7 21:08:42 2009 From: from-tomoyo-dev @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Sun, 7 Jun 2009 21:08:42 +0900 Subject: [Tomoyo-dev 1086] Re: =?iso-2022-jp?b?GyRCNSQkRSQxJFAbKEJNYW5kcml2YRskQiRLJGIbKEJU?= =?iso-2022-jp?b?T01PWU8=?= In-Reply-To: <200803192025.AAD43279.NPPPEtNFPZWStUG@I-love.SAKURA.ne.jp> References: <9292c1390803190048j7a239260ld08e9ec1b23f1129@mail.gmail.com> <200803192025.AAD43279.NPPPEtNFPZWStUG@I-love.SAKURA.ne.jp> Message-ID: <200906072108.DAH56217.tPGUNPZWESFNPPt@I-love.SAKURA.ne.jp>  熊猫です。 http://ideas.mandriva.com/en/idees/show.php?id=161 Mandriva が AppArmor から TOMOYO 2.2 への乗り換えを 考えているようです。 From hitoht @ gmail.com Mon Jun 8 10:03:10 2009 From: hitoht @ gmail.com (hito) Date: Mon, 8 Jun 2009 10:03:10 +0900 Subject: [Tomoyo-dev 1087] Re: =?iso-2022-jp?b?TFNNIFRPTU9ZTyBmb3IgVWJ1bnR1IDkuMTAgKFJlOiBV?= =?iso-2022-jp?b?YnVudHUgGyRCOkc9KjdoQG8bKEIgYXQgGyRCS1w2PxsoQik=?= In-Reply-To: <87oct5y7jz.wl%hitoht@gmail.com> References: <49C8B0D9.9000203@nttdata.co.jp> <87y6uvi4xo.wl%hitoht@gmail.com> <200905010109.n4119Ea2032626@www262.sakura.ne.jp> <49FA4CD5.7010505@nttdata.co.jp> <9292c1390905010146q47d3ceavd7f0a6e785f9db6f@mail.gmail.com> <200905012117.AGB69768.tZPWPNNtUPGESFP@I-love.SAKURA.ne.jp> <87d4alk3o3.wl%hitoht@gmail.com> <87oct5y7jz.wl%hitoht@gmail.com> Message-ID: <9292c1390906071803o37f18df6q7a4450fc5b4957c8@mail.gmail.com> > びみょーに予定とは異なってますが、わりと順調に進んでいます。 https://lists.ubuntu.com/archives/kernel-team/2009-June/005940.html Alpha2に間に合うかどーかは微妙なところですが、SpecとしてAcceptされた上で Kernel sourceのTrunkでActive化されました。 他のABI Bumpものとセットで、2.6.30-9.10(?)以降使えるようになると思います。 また、ccstools他のユーザランドツールもカスタムする等の処理が入るかもしれません。 From hitoht @ gmail.com Mon Jun 8 10:03:10 2009 From: hitoht @ gmail.com (hito) Date: Mon, 8 Jun 2009 10:03:10 +0900 Subject: [Tomoyo-dev 1088] Re: =?iso-2022-jp?b?TFNNIFRPTU9ZTyBmb3IgVWJ1bnR1IDkuMTAgKFJlOiBV?= =?iso-2022-jp?b?YnVudHUgGyRCOkc9KjdoQG8bKEIgYXQgGyRCS1w2PxsoQik=?= In-Reply-To: <87oct5y7jz.wl%hitoht@gmail.com> References: <49C8B0D9.9000203@nttdata.co.jp> <87y6uvi4xo.wl%hitoht@gmail.com> <200905010109.n4119Ea2032626@www262.sakura.ne.jp> <49FA4CD5.7010505@nttdata.co.jp> <9292c1390905010146q47d3ceavd7f0a6e785f9db6f@mail.gmail.com> <200905012117.AGB69768.tZPWPNNtUPGESFP@I-love.SAKURA.ne.jp> <87d4alk3o3.wl%hitoht@gmail.com> <87oct5y7jz.wl%hitoht@gmail.com> Message-ID: <9292c1390906071803o37f18df6q7a4450fc5b4957c8@mail.gmail.com> > びみょーに予定とは異なってますが、わりと順調に進んでいます。 https://lists.ubuntu.com/archives/kernel-team/2009-June/005940.html Alpha2に間に合うかどーかは微妙なところですが、SpecとしてAcceptされた上で Kernel sourceのTrunkでActive化されました。 他のABI Bumpものとセットで、2.6.30-9.10(?)以降使えるようになると思います。 また、ccstools他のユーザランドツールもカスタムする等の処理が入るかもしれません。 From naota @ elisp.net Mon Jun 8 21:40:26 2009 From: naota @ elisp.net (Naohiro Aota) Date: Mon, 08 Jun 2009 21:40:26 +0900 Subject: [Tomoyo-dev 1089] =?iso-2022-jp?b?c3VucmlzZSBvdmVybGF5IBskQiRLGyhCIGNjcy10b29scyA=?= =?iso-2022-jp?b?GyRCJCwkTyQkJGokXiQ3JD8bKEI=?= Message-ID: <87tz2qew5h.fsf@yue.localnetwork> 青田です。 Gentoo の公式? overlay である sunrise に ccs-tools が登録されました。 http://overlays.gentoo.org/proj/sunrise/browser/reviewed/sys-apps/ccs-tools http://bugs.gentoo.org/show_bug.cgi?id=271028 Portage tree に登録されるまでにはまだまだ時間がかかると思いますが、ひとま ず sunrise というわりと使われている overlay に入ったので Gentoo でもより 使いやすくなると思います。 # 2.6.30 にまにあって良かった -- 青田 From haradats @ gmail.com Wed Jun 10 07:34:51 2009 From: haradats @ gmail.com (Toshiharu Harada) Date: Wed, 10 Jun 2009 07:34:51 +0900 Subject: [Tomoyo-dev 1090] Re: =?iso-2022-jp?b?c3VucmlzZSBvdmVybGF5IBskQiRLGyhCIGNjcy10b29s?= =?iso-2022-jp?b?cyAbJEIkLCRPJCQkaiReJDckPxsoQg==?= In-Reply-To: <87tz2qew5h.fsf@yue.localnetwork> References: <87tz2qew5h.fsf@yue.localnetwork> Message-ID: <9d732d950906091534u1d6279c8kdd411b334a39007c@mail.gmail.com> 2009/06/08 21:40 に Naohiro Aota さんは書きました: > 青田です。 > > Gentoo の公式? overlay である sunrise に ccs-tools が登録されました。 > http://overlays.gentoo.org/proj/sunrise/browser/reviewed/sys-apps/ccs-tools > http://bugs.gentoo.org/show_bug.cgi?id=271028 > > Portage tree に登録されるまでにはまだまだ時間がかかると思いますが、ひとま > ず sunrise というわりと使われている overlay に入ったので Gentoo でもより > 使いやすくなると思います。 > > # 2.6.30 にまにあって良かった > > -- > 青田 > > _______________________________________________ > tomoyo-dev mailing list > tomoyo-dev @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/tomoyo-dev > -- Toshiharu Harada haradats @ gmail.com From haradats @ gmail.com Wed Jun 10 08:30:13 2009 From: haradats @ gmail.com (Toshiharu Harada) Date: Wed, 10 Jun 2009 08:30:13 +0900 Subject: [Tomoyo-dev 1091] =?iso-2022-jp?b?Ny8zIBskQiVhJSQlcyVpJSQlczI9NS1HMEpZNi8ycSROGyhC?= =?iso-2022-jp?b?GyRCJWolXiUkJXMlQCRHJDkbKEI=?= Message-ID: <9d732d950906091630x3e4bf5e9s61491c53e8bc28ae@mail.gmail.com> 原田です。 以前お知らせしたTOMOYO Linuxメインライン化記念勉強会の プログラムがほぼ固まりました。 協 賛: YLUGカーネル読書会、セキュアOSユーザ会、まっちゃ445合同勉強会 日 時: 2009年7月3日(金)16:00-19:00 場 所: 日本SGI株式会社 SGIホール(恵比寿ガーデンプレイスタワーB1F)     http://www.sgi.co.jp/company_info/map1.html     会場の使用をご快諾いただきました日本SGI様に感謝します。 費 用: 無料 スケジュール: (予定どおりに進行しない場合があります)   -----------------------------------------------------------------   16:00-16:30 ★★★基調講演★★★     「TOMOYOで学ぶkernel watchの秘密 - どうやってマージ間近のパッチを見つけているのか -」by 小崎さん   -----------------------------------------------------------------   16:30-17:00 ★★★TOMOYO Linuxプロジェクトから★★★     「メインライン化のご報告」 by 原田   17:00-17:30 ★★★version 2.6.30マージ記念講演★★★     「NILFSのメインライン化について」by 小西さん     「2.6.30でこっそり入ったLIM/IMAって何?」by むねさん   -----------------------------------------------------------------   17:30-18:40 ★★★勉強会協賛各団体から★★★     「強敵よ!〜SELinuxとの比較〜」 by 海外さん@セキュアOSユーザ会     「YLUGカーネル読書会とTOMOYO Linux」 by よしおかさん@YLUGカーネル読書会     「セキュリティ勉強会紹介(仮)」 by まっちゃだいふくさん@まっちゃだいふく勉強会(^^;   ----------------------------------------------------------------- ご覧のようにとても充実した内容となっています(これにあとIPv6や BlueQuartzの方からのお話があれば・・・)。是非パーティともども ご参加をご検討ください。 申し込みは、 http://atnd.org/events/791 勉強会、パーティのお知らせ http://sourceforge.jp/projects/tomoyo/wiki/ThankYou -- Toshiharu Harada haradats @ gmail.com From haradats @ nttdata.co.jp Wed Jun 10 13:02:13 2009 From: haradats @ nttdata.co.jp (Toshiharu Harada) Date: Wed, 10 Jun 2009 13:02:13 +0900 Subject: [Tomoyo-dev 1092] =?iso-2022-jp?b?Mi42LjMwIBskQiVqJWohPCU5JDUkbCReJDckPxsoQg==?= Message-ID: <4A2F3045.80908@nttdata.co.jp> レポジトリのほうに 2.6.30 が作られました。 じきに、www.kernel.org 上に反映されます。 http://git.kernel.org/?p=linux%2Fkernel%2Fgit%2Ftorvalds%2Flinux-2.6.git;a=summary ありがとうございました。 -- 原田季栄 (Toshiharu Harada) haradats at nttdata.co.jp From haradats @ gmail.com Sat Jun 13 15:36:08 2009 From: haradats @ gmail.com (Toshiharu Harada) Date: Sat, 13 Jun 2009 15:36:08 +0900 Subject: [Tomoyo-dev 1093] =?iso-2022-jp?b?VGhpbmtJVBskQk8iOlw8OUkuNihOTzxUJHJKZz04JDcbKEI=?= =?iso-2022-jp?b?GyRCJF4kORsoQg==?= Message-ID: <9d732d950906122336n3b6790aaof98ac4f8674260d0@mail.gmail.com> こんにちは。 先週、インプレスビジネスメディアの方とお会いして、急遽7月に TOMOYO Linuxの連載を掲載することになりました。 ThinkITさんには、過去何本か記事を書いていますが、それから 時間が空いているので、最初はメインライン化を含めた一種 おさらいを書く予定ですが、2本目以降は現状白紙です。 編集の方に以前考えていた「ディストロで使うTOMOYO Linux」 (ディストロ関係者の寄稿による記事)について 提案したところOKをいただきました。つきましては、 「書いても良いよ」「是非書きたい」「書かせろ」という方があれば 至急原田までご連絡いただけませんでしょうか? 例としては、 組込みとTOMOYO UbuntuとTOMOYO DebianとTOMOYO GentooとTOMOYO のような感じで(ちょうど4本・・・)。原稿は4500文字で、 原稿料は直接お受け取りいただけます。執筆期間は正直 余裕がありませんが、是非是非是非ご検討ください。(_ _) -- Toshiharu Harada haradats @ gmail.com From hitoht @ gmail.com Sat Jun 13 23:03:09 2009 From: hitoht @ gmail.com (hito) Date: Sat, 13 Jun 2009 23:03:09 +0900 Subject: [Tomoyo-dev 1094] Re: =?iso-2022-jp?b?TFNNIFRPTU9ZTyBmb3IgVWJ1bnR1IDkuMTAgKFJlOiBV?= =?iso-2022-jp?b?YnVudHUgGyRCOkc9KjdoQG8bKEIgYXQgGyRCS1w2PxsoQik=?= In-Reply-To: <9292c1390906071803o37f18df6q7a4450fc5b4957c8@mail.gmail.com> References: <49C8B0D9.9000203@nttdata.co.jp> <87y6uvi4xo.wl%hitoht@gmail.com> <200905010109.n4119Ea2032626@www262.sakura.ne.jp> <49FA4CD5.7010505@nttdata.co.jp> <9292c1390905010146q47d3ceavd7f0a6e785f9db6f@mail.gmail.com> <200905012117.AGB69768.tZPWPNNtUPGESFP@I-love.SAKURA.ne.jp> <87d4alk3o3.wl%hitoht@gmail.com> <87oct5y7jz.wl%hitoht@gmail.com> <9292c1390906071803o37f18df6q7a4450fc5b4957c8@mail.gmail.com> Message-ID: <9292c1390906130703j4ac33935g67cece9a25e3f1a6@mail.gmail.com> >> びみょーに予定とは異なってますが、わりと順調に進んでいます。 > > https://lists.ubuntu.com/archives/kernel-team/2009-June/005940.html Alpha2には間に合いませんでしたが、Alpha3で入るであろう2.6.30-ABI9(以降) で有効化されました。 https://www.launchpad.net/ubuntu/karmic/+source/linux/2.6.30-9.10 $ uname -a Linux mini 2.6.30-9-generic #10-Ubuntu SMP Fri Jun 12 13:05:04 UTC 2009 i686 GNU/Linux $ dmesg| grep -i tomoyo [ 0.000000] Kernel command line: root=UUID=78ebe131-76ff-41a1-9ba1-ab531f1ea043 ro security=tomoyo [ 0.004246] TOMOYO Linux initialized [ 3.103575] Calling /sbin/tomoyo-init to load policy. Please wait. [ 3.668130] TOMOYO: 2.2.0 2009/04/01 # ありがとう現地エージェント! From hitoht @ gmail.com Sat Jun 13 23:19:29 2009 From: hitoht @ gmail.com (hito) Date: Sat, 13 Jun 2009 23:19:29 +0900 Subject: [Tomoyo-dev 1095] =?iso-2022-jp?b?GyRCJVElQyUxITwlOCVzJTAkSyQqJDEkaxsoQkxTTQ==?= =?iso-2022-jp?b?GyRCSEchJkhzGyhCTFNNGyRCSEckTjYmQjgbKEI=?= Message-ID: <9292c1390906130719x13d66545pe32d1e27a979f0f9@mail.gmail.com> 2.6.30でMainlineに無事に入ったわけですが、ここからユーザランドを ディストリビューションごとに整備してもらう、という作業が必要になります。 Ubuntu 9.10の最新状態でLSM版を試そうとして驚愕したのですが、 早めに手当が必要そうなところが2箇所あります。 「そもそもどーすべきよ?」的なことを(主に原田さんに)考えて頂く必要が あると思うので、とりあえず問題だけ投下してみます。 1) tomoyo-ccstoolsの「使い方」の差 ---------- 問題 ---------- ・tomoyo-ccstoolsをインストールしようとすると、なぜか20MBばかり  ダウンロードが必要。 ・これは、↓みたいに非LSM版前提でRecommendsにlinux-patch-tomoyoが  転がっているため。 $ apt-cache show tomoyo-ccstools |grep Recommends: Recommends: linux-patch-tomoyo ・LSM版だと要らない上、これから行うArmel版向けのロビー活動に対して  割と困った感じ。 という感じです。 ---------- 対処 ---------- 考え方は2つあって、 a) 不要なので捨てる(Suggestsまで落とす)。 b) Recommendsなのは事実なので残しておく。 さらにこれを、 i) Debianでやってしまう ii) Ubuntuで独自パッチする という選択肢があります。 ---------- タスク? ---------- ・他の2.6.30を採用しそうなディストリビューションではどんな感じでしょうか? ・これはどうしたら良いでしょうか? 「これどうする」のデフォルトは、 「sidが2.6.30を採用し、かつCONFIG_SECURITY_TOMOYO=yになったら Suggestsまで落としてもらう。それがUbuntu 9.10のリリースまでに 行われない場合に備えて、Ubuntuでは独自にLSM版向けに合わせ込んでおく」です。 ============================================================= 2) tomoyo-ccstoolsのREADMEファイルが非LSM版向け ---------- 問題 ---------- Debian, Ubuntuでは /usr/share/doc/tomoyo-ccstools/README.ccs.gz にインストールされるのですが、こいつは | This package contains userland programs | for TOMOYO Linux version 1.6.8 . | This package is released under the GPLv2. とか書いてある状態です。実はSourceforgeで配っているccstoolsの READMEは、現在でも上記のようなことが書いてあります(いやーん)。 ---------- おねがい ---------- ・ccstoolsのドキュメントのアップデートきぼんぬ。 From henrich @ debian.or.jp Sun Jun 14 00:00:22 2009 From: henrich @ debian.or.jp (Hideki Yamane) Date: Sun, 14 Jun 2009 00:00:22 +0900 Subject: [Tomoyo-dev 1096] Re: =?iso-2022-jp?b?GyRCJVElQyUxITwlOCVzJTAkSyQqJDEkaxsoQkxTTQ==?= =?iso-2022-jp?b?GyRCSEchJkhzGyhCTFNNGyRCSEckTjYmQjgbKEI=?= In-Reply-To: <9292c1390906130719x13d66545pe32d1e27a979f0f9@mail.gmail.com> References: <9292c1390906130719x13d66545pe32d1e27a979f0f9@mail.gmail.com> Message-ID: <20090614000022.459fb31d.henrich@debian.or.jp> On Sat, 13 Jun 2009 23:19:29 +0900 hito wrote: > ・これは、↓みたいに非LSM版前提でRecommendsにlinux-patch-tomoyoが >  転がっているため。 > $ apt-cache show tomoyo-ccstools |grep Recommends: > Recommends: linux-patch-tomoyo > > ・LSM版だと要らない上、これから行うArmel版向けのロビー活動に対して >  割と困った感じ。  armel 使うなら aptitude -R で recommend は外す使い方をしてほしいですけど、  その前提は無理そうですかね? > a) 不要なので捨てる(Suggestsまで落とす)。 > b) Recommendsなのは事実なので残しておく。 > > さらにこれを、 > > i) Debianでやってしまう > ii) Ubuntuで独自パッチする  debconf などで実際どのバージョンが次(lenny and a half、クリスマスらしい)  で入れるつもりなん?というのを聞かないと suggests までは落としません。  それ次第で落とすかどうか Debian では決める形になります。 -- Regards, Hideki Yamane henrich @ debian.or.jp/iijmio-mail.jp http://wiki.debian.org/HidekiYamane From hitoht @ gmail.com Sun Jun 14 00:14:49 2009 From: hitoht @ gmail.com (hitoht @ gmail.com) Date: Sun, 14 Jun 2009 00:14:49 +0900 Subject: [Tomoyo-dev 1097] Re: =?iso-2022-jp?b?GyRCJVElQyUxITwlOCVzJTAkSyQqJDEkaxsoQkxTTQ==?= =?iso-2022-jp?b?GyRCSEchJkhzGyhCTFNNGyRCSEckTjYmQjgbKEI=?= In-Reply-To: <20090614000022.459fb31d.henrich@debian.or.jp> References: <9292c1390906130719x13d66545pe32d1e27a979f0f9@mail.gmail.com> <20090614000022.459fb31d.henrich@debian.or.jp> Message-ID: <87r5xo17yu.wl%hitoht@gmail.com> On Sun, 14 Jun 2009 00:00:22 +0900, wrote: > > $ apt-cache show tomoyo-ccstools |grep Recommends: > > Recommends: linux-patch-tomoyo > > > > ・LSM版だと要らない上、これから行うArmel版向けのロビー活動に対して > >  割と困った感じ。 > >  armel 使うなら aptitude -R で recommend は外す使い方をしてほしいですけど、 >  その前提は無理そうですかね? 無理ではない気がしますが、なんかccstoolsの(DebianではなくUpstreamの) ねじれをユーザーに処理させてる無理筋ぽい感じがします。 ただまぁ、Ubuntuでは細かい調整をLSM版前提でいれこむ可能性もあるので、 この問題を問わず自前措置をするかもしれません。 # LSM版のsecurity=tomoyoしてupdate-grubするのを自動でやるとか。 # (c.f. dontzap) From henrich @ debian.or.jp Sun Jun 14 00:23:20 2009 From: henrich @ debian.or.jp (Hideki Yamane) Date: Sun, 14 Jun 2009 00:23:20 +0900 Subject: [Tomoyo-dev 1098] Re: =?iso-2022-jp?b?GyRCJVElQyUxITwlOCVzJTAkSyQqJDEkaxsoQkxTTQ==?= =?iso-2022-jp?b?GyRCSEchJkhzGyhCTFNNGyRCSEckTjYmQjgbKEI=?= In-Reply-To: <87r5xo17yu.wl%hitoht@gmail.com> References: <9292c1390906130719x13d66545pe32d1e27a979f0f9@mail.gmail.com> <20090614000022.459fb31d.henrich@debian.or.jp> <87r5xo17yu.wl%hitoht@gmail.com> Message-ID: <20090614002320.e42fb6cc.henrich@debian.or.jp> On Sun, 14 Jun 2009 00:14:49 +0900 wrote: > 無理ではない気がしますが、なんかccstoolsの(DebianではなくUpstreamの) > ねじれをユーザーに処理させてる無理筋ぽい感じがします。  捻れというか、大前提情報が色々必要になるのが面倒ですね。  Suggests にするのは有りだと思います。2.6.30 が入るならそれで  とりあえず動作するから、で Recommends から落とすのは筋が通り  ますね。 -- Regards, Hideki Yamane henrich @ debian.or.jp/iijmio-mail.jp http://wiki.debian.org/HidekiYamane From henrich @ debian.or.jp Sun Jun 14 08:21:25 2009 From: henrich @ debian.or.jp (Hideki Yamane) Date: Sun, 14 Jun 2009 08:21:25 +0900 Subject: [Tomoyo-dev 1099] Re: =?iso-2022-jp?b?GyRCJVElQyUxITwlOCVzJTAkSyQqJDEkaxsoQkxTTQ==?= =?iso-2022-jp?b?GyRCSEchJkhzGyhCTFNNGyRCSEckTjYmQjgbKEI=?= In-Reply-To: <20090614002320.e42fb6cc.henrich@debian.or.jp> References: <9292c1390906130719x13d66545pe32d1e27a979f0f9@mail.gmail.com> <20090614000022.459fb31d.henrich@debian.or.jp> <87r5xo17yu.wl%hitoht@gmail.com> <20090614002320.e42fb6cc.henrich@debian.or.jp> Message-ID: <20090614082125.4150e56d.henrich@debian.or.jp> On Sun, 14 Jun 2009 00:23:20 +0900 Hideki Yamane wrote: > > 無理ではない気がしますが、なんかccstoolsの(DebianではなくUpstreamの) > > ねじれをユーザーに処理させてる無理筋ぽい感じがします。 > >  捻れというか、大前提情報が色々必要になるのが面倒ですね。 >  Suggests にするのは有りだと思います。2.6.30 が入るならそれで >  とりあえず動作するから、で Recommends から落とすのは筋が通り >  ますね。  あ、Depends: linux-image-2.6 (>= 2.6.30) | linux-patch-tomoyo  というのはありなのかな?という気もしてきました。 -- Regards, Hideki Yamane henrich @ debian.or.jp/iijmio-mail.jp http://wiki.debian.org/HidekiYamane From haradats @ gmail.com Sun Jun 14 08:26:45 2009 From: haradats @ gmail.com (Toshiharu Harada) Date: Sun, 14 Jun 2009 08:26:45 +0900 Subject: [Tomoyo-dev 1100] Re: =?iso-2022-jp?b?GyRCJVElQyUxITwlOCVzJTAkSyQqJDEkaxsoQkxTTQ==?= =?iso-2022-jp?b?GyRCSEchJkhzGyhCTFNNGyRCSEckTjYmQjgbKEI=?= In-Reply-To: <9292c1390906130719x13d66545pe32d1e27a979f0f9@mail.gmail.com> References: <9292c1390906130719x13d66545pe32d1e27a979f0f9@mail.gmail.com> Message-ID: <4A3435B5.7010506@gmail.com> hitoさん、 hito wrote: > 2.6.30でMainlineに無事に入ったわけですが、ここからユーザランドを > ディストリビューションごとに整備してもらう、という作業が必要になります。 > > Ubuntu 9.10の最新状態でLSM版を試そうとして驚愕したのですが、 > 早めに手当が必要そうなところが2箇所あります。 > > 「そもそもどーすべきよ?」的なことを(主に原田さんに)考えて頂く必要が > あると思うので、とりあえず問題だけ投下してみます。 「そもそもどーすべき」について私の考えは明確なので、 ccstoolsをメインライン版とそれ以外に分けるべきだと思います。 しかし、過去を振り返ると、この考えは多分半田さんの考えとは 違っている可能性があります。 半田さんは先週金曜日から東京を離れており、メールもネットも 使えていないので、月曜日に半田さんの意見を聞いた上で、 可能であればface to faceでお話させていただければと思います。 > 1) tomoyo-ccstoolsの「使い方」の差 > > ---------- > 問題 > ---------- > > ・tomoyo-ccstoolsをインストールしようとすると、なぜか20MBばかり >  ダウンロードが必要。 > > ・これは、↓みたいに非LSM版前提でRecommendsにlinux-patch-tomoyoが >  転がっているため。 > $ apt-cache show tomoyo-ccstools |grep Recommends: > Recommends: linux-patch-tomoyo > > ・LSM版だと要らない上、これから行うArmel版向けのロビー活動に対して >  割と困った感じ。 > > という感じです。 > > ---------- > 対処 > ---------- > > 考え方は2つあって、 > > a) 不要なので捨てる(Suggestsまで落とす)。 > b) Recommendsなのは事実なので残しておく。 > > さらにこれを、 > > i) Debianでやってしまう > ii) Ubuntuで独自パッチする > > という選択肢があります。 > > ---------- > タスク? > ---------- > > ・他の2.6.30を採用しそうなディストリビューションではどんな感じでしょうか? > ・これはどうしたら良いでしょうか? > > 「これどうする」のデフォルトは、 > 「sidが2.6.30を採用し、かつCONFIG_SECURITY_TOMOYO=yになったら > Suggestsまで落としてもらう。それがUbuntu 9.10のリリースまでに > 行われない場合に備えて、Ubuntuでは独自にLSM版向けに合わせ込んでおく」です。 > > ============================================================= > 2) tomoyo-ccstoolsのREADMEファイルが非LSM版向け > > ---------- > 問題 > ---------- > > Debian, Ubuntuでは /usr/share/doc/tomoyo-ccstools/README.ccs.gz > にインストールされるのですが、こいつは > > | This package contains userland programs > | for TOMOYO Linux version 1.6.8 . > | This package is released under the GPLv2. > > とか書いてある状態です。実はSourceforgeで配っているccstoolsの > READMEは、現在でも上記のようなことが書いてあります(いやーん)。 > > ---------- > おねがい > ---------- > > ・ccstoolsのドキュメントのアップデートきぼんぬ。 -- 原田季栄 haradats @ gmail.com From from-tomoyo-dev @ i-love.sakura.ne.jp Mon Jun 22 15:11:33 2009 From: from-tomoyo-dev @ i-love.sakura.ne.jp (Tetsuo Handa) Date: Mon, 22 Jun 2009 15:11:33 +0900 Subject: [Tomoyo-dev 1101] Re: =?iso-2022-jp?b?GyRCJVElQyUxITwlOCVzJTAkSyQqJDEkaxsoQiBMU00g?= =?iso-2022-jp?b?GyRCSEchJkhzGyhCIExTTSAbJEJIRyRONiZCOBsoQg==?= In-Reply-To: <9292c1390906130719x13d66545pe32d1e27a979f0f9@mail.gmail.com> References: <9292c1390906130719x13d66545pe32d1e27a979f0f9@mail.gmail.com> Message-ID: <200906220611.n5M6BXa0069905@www262.sakura.ne.jp>  熊猫です。 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=532920 にて 「 TOMOYO 2.2.0 で ccs-auditd が機能しない」というバグ報告が出ています。 2.2.0 には grant_log および reject_log が存在しないため ccs-auditd が 機能しないのは正しい動作なのですが、エラーメッセージが不適切だったために 混乱させてしまったようです。 そこで、対策として grant_log または reject_log が存在しない場合には ccs-auditd 起動直後にエラーメッセージを表示して終了させるように修正したいと 思います。この修正に関して、何か困ることがありましたらお知らせください。 (明日 ccs-tools-1.6.8-20090623.tar.gz としてリリースします。) # diff -r --exclude .svn tags/ccs-tools/1.6.8/ trunk/1.6.x/ccs-tools/ diff -r --exclude .svn tags/ccs-tools/1.6.8/ccstools/README.ccs trunk/1.6.x/ccs-tools/ccstools/README.ccs 4c4 < for TOMOYO Linux version 1.6.8 . --- > for TOMOYO Linux version 1.6.8 and 2.2.0 . 424a425,429 > > Version 1.6.8p1 2009/06/23 Bug fix release. > > ccs-auditd: > Print error message if auditing interface is not available. diff -r --exclude .svn tags/ccs-tools/1.6.8/ccstools/ccs-tools.spec trunk/1.6.x/ccs-tools/ccstools/ccs-tools.spec 5c5 < Release: 1 --- > Release: 2 11c11 < Conflicts: ccs-tools < 1.6.8-1 --- > Conflicts: ccs-tools < 1.6.8-2 13c13 < Source0: http://osdn.dl.sourceforge.jp/tomoyo/30298/ccs-tools-1.6.8-20090528.tar.gz --- > Source0: http://osdn.dl.sourceforge.jp/tomoyo/30298/ccs-tools-1.6.8-20090623.tar.gz 44a45,47 > * Tue Jun 23 2009 1.6.8-2 > - ccs-auditd: Print error message if auditing interface is not available. > diff -r --exclude .svn tags/ccs-tools/1.6.8/ccstools/ccstools.src/ccs-auditd.c trunk/1.6.x/ccs-tools/ccstools/ccstools.src/ccs-auditd.c 8c8 < * Version: 1.6.8 2009/05/28 --- > * Version: 1.6.8p1 2009/06/23 23c23 < if (access(proc_policy_dir, F_OK)) { --- > if (access(procfile_path[0], R_OK) || access(procfile_path[1], R_OK)) { diff -r --exclude .svn tags/ccs-tools/1.6.8/ccstools/ccstools.src/ccstools.c trunk/1.6.x/ccs-tools/ccstools/ccstools.src/ccstools.c 1225c1225 < printf("ccstools version 1.6.8 build 2009/05/28\n"); --- > printf("ccstools version 1.6.8p1 build 2009/06/23\n"); From from-tomoyo-users @ i-love.sakura.ne.jp Tue Jun 23 10:11:12 2009 From: from-tomoyo-users @ i-love.sakura.ne.jp (Tetsuo Handa) Date: Tue, 23 Jun 2009 10:11:12 +0900 Subject: [Tomoyo-dev 1102] =?iso-2022-jp?b?Y2NzLXRvb2xzIBskQiRyJSIlQyVXJUchPCVIJDckXiQ3GyhC?= =?iso-2022-jp?b?GyRCJD8hIxsoQg==?= In-Reply-To: <200905280551.n4S5pDni053840@www262.sakura.ne.jp> References: <200905280551.n4S5pDni053840@www262.sakura.ne.jp> Message-ID: <200906230111.n5N1BCgt050048@www262.sakura.ne.jp>  熊猫です。  TOMOYO 2.2.0 にはアクセスログを保存する機能がありません。そのため、 ccs-auditd は TOMOYO 2.2.0 では動作しません。しかし、 ccs-auditd の起動時に エラーメッセージを表示していなかったことから、ユーザを混乱させてしまった ようです。 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=532920  ccs-auditd の起動時にエラーメッセージを表示するように修正したバージョンを アップロードしました。(それ以外の変更は無いので、放置しても問題ありません。) ccs-tools-1.6.8-20090623.tar.gz MD5: 888d774e0afd18cbc5e1bf7641de2818 From from-tomoyo-dev @ I-love.SAKURA.ne.jp Sat Jun 27 16:25:20 2009 From: from-tomoyo-dev @ I-love.SAKURA.ne.jp (Tetsuo Handa) Date: Sat, 27 Jun 2009 16:25:20 +0900 Subject: [Tomoyo-dev 1103] =?iso-2022-jp?b?VE9NT1lPIBskQiROPCE0fCVQITwlOCVnJXMkWDh+JDEbKEI=?= =?iso-2022-jp?b?GyRCJEYkTjtFTU1KUTk5JEskRCQkJEYbKEI=?= Message-ID: <200906271625.FHH57319.UZPWGPtNPPEtNSF@I-love.SAKURA.ne.jp>  熊猫です。  メインライン版でガベージコレクタを実現できそうなので、非メインライン版でも ガベージコレクタを実現したいと思います。今までは互換性を重視して重複する機能や 古くなった機能でもずっと使えるようにしてきましたが、メインライン化されたのを 機に見直しを行って次期バージョンとするのもありかなと思っています。  TOMOYO 1.7.0 では、ガベージコレクタが使えることを前提に、今まではメモリを解放 できないために最小限しか学習させなかった allow_execute に関して、少し多めに学習 させてみようかと思っています。  現状( TOMOYO 1.6.8/2.2.0 )では  # ln -s /bin/busybox /bin/ls  # ln -s /bin/busybox /bin/cat のようなシステムで、 /bin/ls が実行されたものとしてドメインを作成するには  alias /bin/busybox /bin/ls という指定を exception_policy で明示的に行った上で  allow_execute /bin/ls という指定を domain_policy に与える必要があります。 そのため、 alias /bin/busybox /bin/cat という指定がなかった場合、 /bin/cat を実行しようとすると /bin/busybox を実行する場合のアクセス許可が チェックされて、遷移先ドメイン名にも /bin/busybox が使われてしまいます。  これを次期バージョンでは、 exception_policy で alias 指定を行う手順を省略し、 domain_policy で alias 構文相当のチェックを行うようにします。具体的には、  allow_execute パーミッションのチェックと遷移先ドメインを計算するのに利用するパス名(シンボリックリンク可) if exec.realpath=シンボリックリンク解決後の絶対パス名 exec.argv[0]=最初の引数 のように exec.realpath というキーワードを導入します。例えば  allow_execute /bin/ls if exec.realpath="/bin/busybox" exec.argv[0]="ls"  allow_execute /bin/ls if exec.realpath="/bin/busybox" exec.argv[0]="/bin/ls" のような感じです。このようにすると、 /bin/cat を実行しようとした場合、  allow_execute /bin/busybox ではなく  allow_execute /bin/cat if exec.realpath="/bin/busybox" exec.argv[0]="/bin/cat" がチェックされるようになります。 /bin/busybox の実行許可がないというエラー メッセージではなく、 /bin/cat を実行する許可がないというエラーメッセージに なるので、より理解しやすいかと思います。 インストール時のメリット/デメリット:  シンボリックリンクのパス名に対して実行許可をチェックするので、 alias 構文を  廃止できます。それに伴い、 alias の一覧を作成するために init_policy.sh の中の  make_alias ( find を使ってシステムに存在する実行可能ファイルへのシンボリック  リンクを検索する処理)が不要になるため、 init_policy.sh の実行時間が短縮  されます。スクリプトをCプログラムで書き直せば、 .rpm や .deb の post install  セクションで実行しても容認できる程度の実行時間になるかもしれません。  また、ハードリンクされたプログラムの実行を自動的に区別できるだけでなく、  シンボリックリンクされたプログラムの実行に関しても事前の準備なしで自動的に  区別できるようになります。  既存のポリシーとの互換性がないこと以外に今のところ問題は見当たりません。 ポリシー作成時のメリット/デメリット:  allow_argv0 の処理は allow_execute の if exec.argv[0] で代替可能であるため、  allow_execute の学習時に if exec.argv[0] の部分も一緒に学習させることで、  allow_argv0 構文とプロファイルの MAC_FOR_ARGV0 を廃止することができます。  代替可能と書きましたが、厳密には allow_argv0 がチェックするのは argv[0] の  最後の / 以降だけなので、 exec.argv[0] がチェックする範囲とは異なります。  そのため、 execlp("/bin/cat", "cat", NULL); という要求と  execlp("/bin/cat", "/bin/cat", NULL); という要求は異なるものとして  処理されるようになります。 argv[0] の内容で権限を分けたい場合には有用ですが、  "cat /etc/passwd" と "/bin/cat /etc/passwd" を同一視したい場合には不便です。  ポリシー作成時とアクセス制御時とで exec.argv[0] の内容が異なっていた場合  (学習モードでは execl("/bin/cat", "cat", NULL); を要求したが、強制モードでは  execl("/bin/cat", "/bin/cat", NULL); を要求した場合)に、アクセスが拒否されて  しまうという危険性もあります。  init script ディレクトリをどう処理するか検討が必要です。現状では init script  ディレクトリは alias 構文の対象外にしているため、シンボリックリンクを解決後の  パス名で学習されるので   allow_execute /etc/rc.d/init.d/sshd  のように1個のアクセス許可に纏まり、遷移先ドメインも1個になります。  しかし、シンボリックリンクを解決する前のパス名で学習した場合、   allow_execute /etc/rc0.d/K25sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc0.d/K25sshd"   allow_execute /etc/rc1.d/K25sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc1.d/K25sshd"   allow_execute /etc/rc2.d/S55sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc2.d/S55sshd"   allow_execute /etc/rc3.d/S55sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc3.d/S55sshd"   allow_execute /etc/rc4.d/S55sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc4.d/S55sshd"   allow_execute /etc/rc5.d/S55sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc5.d/S55sshd"   allow_execute /etc/rc6.d/K25sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc6.d/K25sshd"  のように個別のアクセス許可とドメインとして学習されてしまいます。事前に   aggregator /etc/rc\+.d/S\+\+sshd /etc/rc.d/init.d/sshd   aggregator /etc/rc\+.d/K\+\+sshd /etc/rc.d/init.d/sshd  のように aggregator でまとめておいた場合でも   allow_execute /etc/rc.d/init.d/sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc0.d/K25sshd"   allow_execute /etc/rc.d/init.d/sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc1.d/K25sshd"   allow_execute /etc/rc.d/init.d/sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc2.d/S55sshd"   allow_execute /etc/rc.d/init.d/sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc3.d/S55sshd"   allow_execute /etc/rc.d/init.d/sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc4.d/S55sshd"   allow_execute /etc/rc.d/init.d/sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc5.d/S55sshd"   allow_execute /etc/rc.d/init.d/sshd if exec.realpath="/etc/rc.d/init.d/sshd" exec.argv[0]="/etc/rc6.d/K25sshd"  のように学習され、遷移先ドメインは1個になりますがアクセス許可は個別のままに  なってしまいます。学習後に手作業で exec.argv[0] の部分を削って   allow_execute /etc/rc.d/init.d/sshd if exec.realpath="/etc/rc.d/init.d/sshd"  のようにすれば、現状と同様に1個のアクセス許可と遷移先ドメインに  集約できます。 アクセス制御時のメリット/デメリット:  自動的に argv[0] のチェックも行われるようになるため、 MAC_FOR_ARGV0 を有効に  していなかった場合と比べてセキュリティが向上しますが、 MAC_FOR_ARGV0 を  有効にしていなかった場合と比べてパフォーマンスが低下すると予想されます。 要検討事項:  常に if 節以降を付与することになるので構文が長くなって鬱陶しいと感じる  可能性があります。  構文が長くなるのを回避するための方法として、学習時には、  「パーミッションのチェックと遷移先ドメインを計算するのに利用するパス名  (シンボリックリンク可)」が「シンボリックリンク解決後の絶対パス名」と  一致する場合には exec.realpath= の部分を省略させ、  「パーミッションのチェックと遷移先ドメインを計算するのに利用するパス名  (シンボリックリンク可)」が「最初の引数」と一致する場合には  exec.argv[0]= の部分を省略させるという選択肢があります。  ただし、省略させた場合、「一致するかどうかのチェックを省略する」のか、  「一致するかどうかチェックする」のかを決めなければなりません。  前節の仕様からは「一致するかどうかチェックする」と解釈するのが妥当ですが、  何らかの理由により「一致するかどうかのチェックを省略させたい」場合があった  場合に対処できなくなります。  学習時に省略しないようにすれば、何らかの理由により「一致するかどうかの  チェックを省略させたい」場合にも対処できるようになります。 その他、次期バージョンでは system_policy の内容を exception_policy または domain_policy に移動させて、 system_policy を廃止しようと思っています。 RESTRICT_MOUNT/RESTRICT_UNMOUNT/RESTRICT_CHROOT/RESTRICT_PIVOT_ROOT は 統合して MAC_FOR_NAMESPACE に改名し、 domain_policy で指定するようにしたいと 思います。 DENY_CONCEAL_MOUNT は MAC_FOR_CAPABILITY::allow_conceal_mount に 改名しようと思っています。 RESTRICT_AUTOBIND は(他のアクセス制御とは異なりスリープすることが許されて いないため if 節等をサポートできないので)改名はせず、また、ドメイン単位で 指定できる必要性が感じられないことから exception_policy で指定するように したいと思います。 ソースコード中の #ifdef を減らすために、カーネルコンフィグの CONFIG_SAKURA と CONFIG_TOMOYO と CONFIG_SYAORAN を統合して CONFIG_CCSECURITY に改名したいと 思います。 ・・・ということで、コメント・質問など募集しま〜す。