Tetsuo Handa
from-****@I-lov*****
2009年 3月 7日 (土) 13:10:51 JST
熊猫です。 Hiroshi Shinji さんは書きました: > 現状、基本環境の構築中で、ccs-toolsもまだいれてないんですが、 > NFSのrootfsを使っているので、サーバ上でオフラインのポリシーエディタを > 動かしてポリシー構築しようと考えていました…。 なるほど、 ccs-editpolicy_offline をそのように使おうとしていたのですね。 実は、 ccs-editpolicy_offline には難点があります。 ccs-editpolicy は /proc/ccs/ があれば /proc/ccs/ を、 /sys/kernel/security/tomoyo/ があれば /sys/kernel/security/tomoyo/ を 使うようになっています。 しかし、 ccs-editpolicy_offline は、 1.x で使用することを想定していたため、 /etc/ccs/ しか編集できません。 TOMOYO 2.2.0 がメインライン入りすると、 /etc/tomoyo/ のファイルを ccs-editpolicy_offline で編集したいという意見が 出てくるのでしょうが、( 1.x と 2.x を両方インストールしている場合) /etc/ccs/ と /etc/tomoyo/ のどちらを使えばいいのかを自動判別することは 不可能です。 さらに、他のマシンで使われているポリシーを閲覧したい場合に、 /etc/ccs/ を バックアップして復元するというのも面倒です。 ですから、 ccs-editpolicy_offline で「ポリシーファイルを保存している ディレクトリ」を指定できるようにするのが適当かと思います。 そこで、以下のような仕様にしたいと思いますが、何かありますでしょうか? (1) ccs-editpolicy_offline および ccs-editpolicy_network という プログラム名を廃止する。 (2) ccs-editpolicy に対して、「IPアドレス:ポート番号」を指定した場合は ccs-editpolicy_network として動作する。 ccs-editpolicy に対して、「 / で始まるディレクトリ名」を指定した場合は ccs-editpolicy_offline として動作する。 ccs-editpolicy に対して、どちらも指定されなかった場合、 /proc/ccs/ または /sys/kernel/security/tomoyo/ を編集するエディタとして 動作する。( /proc/ccs/ と /sys/kernel/security/tomoyo/ の両方が存在する 場合というのは考えないで良いですよね?) (例1) ccs-editpolicy /etc/ccs/ 従来の ccs-editpolicy_offline として動作する。 (例2) ccs-editpolicy /etc/tomoyo/ /etc/tomoyo/ を編集する ccs-editpolicy_offline として動作する。 (例3) ccs-editpolicy 192.168.1.1:10000 192.168.1.1:10000 で待機中の ccs-catd ( ccs-editpolicy-agent ?)と 通信する ccs-editpolicy_network として動作する。 (例4) ccs-editpolicy 従来の ccs-editpolicy として動作する。