Toshiharu Harada
harad****@nttda*****
2011年 5月 24日 (火) 14:41:30 JST
(2011/05/24 14:30), Tetsuo Handa wrote: >> 今まで気にもしていなかったことですが、 >> allow_ioctl /usr/bin/xxxx 0x5401 >> などと許可を与えることになると何を許可したのか不安になります。 >> (socket も同様です) >> 0x5401 などの意味するところについてわかりやすい(e.g. 一覧表) >> などはどこかに無いものでしょうか、 > > この数値の解釈はその機能を提供しているサブシステム次第であり、 > DACパーミッションでいうところの「ビット0が execute 、ビット1が write 、 > ビット2が read 」のような約束事は存在しません。興味があれば > http://thread.gmane.org/gmane.linux.kernel.lsm/12543 のスレッドを参照ください。 LWN.netにも関連する記事があります。 Security modules and ioctl() http://lwn.net/Articles/428140/ 「ioctlもsecurity moduleも難しいから、もうDACに任せてしまおう」と書かれ ています。必要な(許可すべき)パラメータがわかっていれば、TOMOYOの 出番だと思うのですが。 > よく見かける 0x5401 についてはカーネルのソースディレクトリ内にある > include/asm-generic/ioctls.h などを参照ください。 > >> socket なども /usr/include/bits/socket.h などにある値・ビットでしょ >> うか。 > > ソケットについては同 include/linux/sockios.h などを参照ください。 -- 原田季栄 (Toshiharu Harada) harad****@nttda*****
TOMOYO
Fork