早間義博
yossi****@yedo*****
2011年 10月 14日 (金) 16:00:14 JST
TOMOYO
Fork早間です。
> >
> > /etc/tomoyo/exception_policy.conf に
> >
> > acl_group 0 file getattr @ANY_PATHNAME
> > path_group ANY_PATHNAME /
> > path_group ANY_PATHNAME /\*
> > path_group ANY_PATHNAME /\{\*\}/
> > path_group ANY_PATHNAME /\{\*\}/\*
> > path_group ANY_PATHNAME \*:/
> > path_group ANY_PATHNAME \*:/\*
> > path_group ANY_PATHNAME \*:/\{\*\}/
> > path_group ANY_PATHNAME \*:/\{\*\}/\*
> > path_group ANY_PATHNAME \*:[\$]
> >
> > という指定は含まれていますでしょうか? tomoyo-tools-2.4 のインストール後に
> > /usr/lib/tomoyo/init_policy を実行することで上記の指定を含んだ
> > exception_policy.conf が作成されるため、 use_group 0 が指定されたドメインに
> > file getattr の指定が学習されることは無い筈です。( TOMOYO 2.3 のポリシーと
> > TOMOYO 2.4 のポリシーとの間に互換性は無いため、 /usr/lib/tomoyo/init_policy の
> > 実行前に /etc/tomoyo/ ディレクトリを削除またはリネームしてください。)
> >
2.3 では働いていたcgiが
#2011/10/14 02:03:16# profile=3 mode=enforcing granted=no (global-pid=5882) task={ pid=5882 ppid=5881 uid=xxx gid=xxx euid=xxx egid=xxx suid=xxx sgid=xxx
fsuid=xxx fsgid=xxx } path1={ uid=xxx gid=xxx ino=703055 major=0 minor=5 perm=0777 type=socket } path1.parent={ uid=xxx gid=xxx ino=703055 perm=0777 }
<kernel> ...... /bin/cat
file getattr socket:[family=1:type=1:protocol=0]
と実行してもらえませんでした。
reject_002.log を見たところ
# grep getattr reject_002.log| sort -u
file getattr socket:[family=10:type=1:protocol=6]
file getattr socket:[family=10:type=2:protocol=17]
file getattr socket:[family=16:type=2:protocol=15]
file getattr socket:[family=17:type=10:protocol=0]
file getattr socket:[family=1:type=1:protocol=0]
file getattr socket:[family=1:type=2:protocol=0]
file getattr socket:[family=2:type=1:protocol=6]
file getattr socket:[family=2:type=2:protocol=17]
file getattr socket:[family=2:type=3:protocol=1]
と言うログが大量にありました。
acl_group 0 file getattr socket:[family=\$:type=\$:protocol=\$]
あるいは
acl_group 0 file getattr \*:[\*]
または
path_group ANY_PATHNAME \*:[\$] -->
path_group ANY_PATHNAME \*:[\*]
とする。
と言う修正でどれが良いでしょうか
-- 早間 義博