TOMOYO

Fork

[tomoyo-users 848] Re: WARNING メッセージの種類

早間義博 yossi****@yedo*****
2011年 5月 28日 (土) 12:55:22 JST

• 前の記事 [tomoyo-users 847] Re: WARNING メッセージの種類
• 次の記事 [tomoyo-users 849] Re: WARNING メッセージの種類
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

早間です。

> > 
> > ドメイン名については allow_execute で指定されたパス名を利用しており、
> > allow_execute ではシンボリックリンク解決前のパス名を用いているため、
> > <kernel> /usr/bin/kterm /usr/bin/perl5.12.3 のようなドメイン名にはならないと
> > 思うのですが？
> > 
> > −−−−−−−−−−−−−−−−−−−−
> >
> 
> allow_execute /usr/bin/perl5.12.3 
> <kernel> /usr/bin/kterm /usr/bin/perl5.12.3 
> 
> がありますが、 これは手作業で
> allow_execute /usr/bin/perl5.12.3
> を入れた結果ですか。
> 全部  /usr/bin/perl に修正してみます。
> 

tomoyo-editpolicy で swatch は次のようになっていました。
 1080:  2  *      /usr/bin/swatch
 1081:  2             /usr/bin/perl5.12.3
 1082:  2                 /bin/date
 1083:  2                 /bin/tail
 1084:  2                 /usr/bin/tail
 1085:  2                 /usr/local/bin/swatchmail
 1086:  2                     /usr/bin/uname
                              /usr/local/bin/pmail.pl ( -> 1089 )


<<< Domain Policy Editor >>>      21 entries    '?' for help

<kernel> /usr/bin/swatch
    0: allow_ioctl   /dev/console 0x5401
    1: allow_ioctl   /dev/null 0x5401
    2: allow_ioctl   /dev/pts/\$ 0x5401
    3: allow_read    /dev/urandom
    4: allow_read    /home/heart/Alive/\*
    5: allow_ioctl   /home/heart/Alive/\* 0x5401
    6: allow_unlink  /root/.swatch_script.\$
    7: allow_write   /root/.swatch_script.\$
    8: allow_create  /root/.swatch_script.\$ 0644
    9: allow_ioctl   /root/.swatch_script.\$ 0x5401
   10: allow_ioctl   /tmp/mfl.\$ 0x5401
   11: allow_execute /usr/bin/perl5.12.3
   12: allow_read    /usr/bin/perl5.12.3
   13: allow_read    /usr/bin/swatch
   14: allow_ioctl   /usr/bin/swatch 0x5401
   15: allow_read    /usr/lib/gconv/EUC-JP.so
   16: allow_read    /usr/lib/gconv/libJIS.so
   17: allow_read    /usr/lib/locale/locale-archive
   18: allow_read    /usr/lib/perl5/\{\*\}/\*
   19: allow_ioctl   /usr/lib/perl5/\{\*\}/\* 0x5401
   20: allow_read    /usr/share/locale/ja/LC_MESSAGES/libc.mo


これを次のように変更しました。
 1080:  2  *      /usr/bin/swatch
 1081:  2             /usr/bin/perl
 1082:  2                 /bin/date
 1083:  2                 /bin/tail
 1084:  2                 /usr/bin/tail
 1085:  2                 /usr/local/bin/swatchmail
 1086:  2                     /usr/bin/uname
                              /usr/local/bin/pmail.pl ( -> 1089 )

<<< Domain Policy Editor >>>      21 entries    '?' for help

<kernel> /usr/bin/swatch
    0: allow_ioctl   /dev/console 0x5401
    1: allow_ioctl   /dev/null 0x5401
    2: allow_ioctl   /dev/pts/\$ 0x5401
    3: allow_read    /dev/urandom
    4: allow_read    /home/heart/Alive/\*
    5: allow_ioctl   /home/heart/Alive/\* 0x5401
    6: allow_unlink  /root/.swatch_script.\$
    7: allow_write   /root/.swatch_script.\$
    8: allow_create  /root/.swatch_script.\$ 0644
    9: allow_ioctl   /root/.swatch_script.\$ 0x5401
   10: allow_ioctl   /tmp/mfl.\$ 0x5401
   11: allow_execute /usr/bin/perl
   12: allow_read    /usr/bin/perl
   13: allow_read    /usr/bin/swatch
   14: allow_ioctl   /usr/bin/swatch 0x5401
   15: allow_read    /usr/lib/gconv/EUC-JP.so
   16: allow_read    /usr/lib/gconv/libJIS.so
   17: allow_read    /usr/lib/locale/locale-archive
   18: allow_read    /usr/lib/perl5/\{\*\}/\*
   19: allow_ioctl   /usr/lib/perl5/\{\*\}/\* 0x5401
   20: allow_read    /usr/share/locale/ja/LC_MESSAGES/libc.mo

しばらく運用すると次のように変わります。
 1080:  2  *      /usr/bin/swatch
 1081:  2             /usr/bin/perl
 1082:  2                 /bin/date
 1083:  2                 /bin/tail
 1084:  2                 /usr/bin/tail
 1085:  2                 /usr/local/bin/swatchmail
 1086:  2                     /usr/bin/uname
                              /usr/local/bin/pmail.pl ( -> 1094 )
 1087:  2             /usr/bin/perl5.12.3
 1088:  2                 /bin/date
 1089:  2                 /bin/tail


<<< Domain Policy Editor >>>      21 entries    '?' for help

<kernel> /usr/bin/swatch
    0: allow_ioctl   /dev/console 0x5401
    1: allow_ioctl   /dev/null 0x5401
    2: allow_ioctl   /dev/pts/\$ 0x5401
    3: allow_read    /dev/urandom
    4: allow_read    /home/heart/Alive/\*
    5: allow_ioctl   /home/heart/Alive/\* 0x5401
    6: allow_unlink  /root/.swatch_script.\$
    7: allow_write   /root/.swatch_script.\$
    8: allow_create  /root/.swatch_script.\$ 0644
    9: allow_ioctl   /root/.swatch_script.\$ 0x5401
   10: allow_ioctl   /tmp/mfl.\$ 0x5401
   11: allow_execute /usr/bin/perl
   12: allow_read    /usr/bin/perl
   13: allow_read    /usr/bin/swatch
   14: allow_ioctl   /usr/bin/swatch 0x5401
   15: allow_read    /usr/lib/gconv/EUC-JP.so
   16: allow_read    /usr/lib/gconv/libJIS.so
   17: allow_read    /usr/lib/locale/locale-archive
   18: allow_read    /usr/lib/perl5/\{\*\}/\*
   19: allow_ioctl   /usr/lib/perl5/\{\*\}/\* 0x5401
   20: allow_read    /usr/share/locale/ja/LC_MESSAGES/libc.mo

ドメインだけがシンボリックリンクの最終パスに変わっているようです。

tomoyo-loadpolicy fd で実行したのですが
<kernel> /usr/bin/swatch /usr/bin/perl5.12.3
<kernel> /usr/bin/swatch /usr/bin/perl5.12.3 /bin/date
<kernel> /usr/bin/swatch /usr/bin/perl5.12.3 /bin/tail
は残っていたのでしょうか、

<kernel> /usr/bin/swatch /usr/bin/perl5.12.3 /usr/local/bin/swatchmail

は作られず、log は WARNING で溢れかえって(と言っても 20000 位)いま
した。
domain.policy.conf を以前の状態に戻すと平穏になりました。

-- 早間

• 前の記事 [tomoyo-users 847] Re: WARNING メッセージの種類
• 次の記事 [tomoyo-users 849] Re: WARNING メッセージの種類
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]