Opensuseのsrc.rpm一覧を覗いてみた。 ftp://suse.mirrors.tds.net/pub/opensuse/distribution/SL-OSS-current/inst-source/suse/src/ SELinux関連はlibselinuxだけ。policycoreutilなどは無し。 昔は一応policyもあったが，SUSEはSELinuxから手を引いた？

ひたすらRPMパッケージのテスト… 同じディストリでも環境によって，ポリシのコンパイル結果が変わってしまう。 file_contextsの動的ラベル付けが環境によって変わるので，これだけはあらかじめもっておくよう。他の部分は、インストール後のmake diffrelabel…

一見，capabilityのsys_bootを使うとできそうだが、reboot,shutdownは，/sbin/init(init_tドメイン）で一括して行っているので，できない。 init_tとの通信権限を制御する必要がある。initとの通信は/dev/initctlへの書き込みで実現されるので，「/dev/initc…

某ディストリでのテスト 某ディストリの評価版をもらったので，テスト。 とりあえず，テキストベースログインでは動くことを確認。しかし，グラフィカルログインでロールが切り替わらない。kdmを使ってるが，これがSELinuxに対応していないようだ。 RBAC省略…

seedit-converter ファイルが存在しない時はfile_contexsのエントリを出力しなかったが出力するように変更 seedit-policy だいたいTurbo Linux 10Serverで動くようになった。

昨日の続き。 以下の変更はユーザーには関係ない。開発者のみに関係する。 マルチディストリ対応をやりやすくするため。 make installの使い方変更 make install DISTRO=(ディストリビューション名小文字) DEVELFLAG=1or0DISTRO=でディストリ指定。今のとこ…

wmf->eps変換 Creating EPS figure for TeX on WindowsNT4.0 or Windows2000

ログイン時のパスワード認証の仕様 (1) /etc/shadowをみる (2) /etc/shadowのアクセス拒否されたなら， (3) /sbin/unix_chkpwdコマンドを使って/etc/shadowを読んで認証する となっていることが判明。 ということは， permissiveモードだと，(1)でパスワード…

前日のアイデアを実現するため，seedit-policyに mkinstfiles.shを作成。 DISTROで，ディストリを切り替え。 DEVEL=1にすると，開発者用に，ifdef込みのものがインストール。 DEVEL=0にすると，ifdefが消えて見やすくなったものがインストール。続き： Makef…

enforcingモードでしか出ないアクセス拒否ログもあるっぽい。 例えば，あるdenyが出ると， /selinux/null(なぜかunlabeled_t)へのdenyログが出る。 /selinux/nullへのdenyはpermissiveでは出ない。 capability関連のログ(setuid,setgidなど）はenforcingでし…

バージョン1.1.3のフィードバックがいくつか。 staff_rがない 従来のSELinuxとの互換性を考えるとあったほうがいいと思われる /devなどにrestorecon時のエラーが出る。 無害なエラーです。対処法考えたほうがいいかなぁ。 targetedポリシーから流れる人が多…

http://homepage1.nifty.com/bmonkey/doc/m4-1.4/html/m4-ja.html#SEC_Top

共通に使えるポリシが結構あるので，うまく管理できないものか。 m4&ifdefでやっちゃうか？ 開発者には，ifdefの中がちゃんと見えて， インストールした場合には見えなくなるとか？ 例： { domain httpd_t; ifdef(fc4){ allow xxxxx; } } turbo上で，make in…

Webminモジュールの作り方を久々に見てみる。 Module Development - Webmin Documentation RPM化も簡単そう。 http://www.webmin.com/modules-files.html /etc/webmin/module.infos.cacheを消して， /etc/webmin/webmin.acl にモジュール名を追加するだけっ…

Turbo Linux10 Serverでテスト。 気づいたのが，「getattr setattr」のみを要求してくることがあること。login,gdmなど。setattrは「w」の中に統合されている。setattrを許すために「w」を許可するのは権限を与えすぎである。かといって，ファイルパーミッシ…

Version 1.2用の仕様を固めたので，その前段階として， Version 1.1.2をリリースしました。これはバージョン１．２のβ版扱いです。 大体9月ぐらいまでバグとったりして，1.2にしようかなぁと。 今のところＦＣ４のみ対応ですが，是非人柱して下さい。 バグな…

最近，SELinuxのコード検査が行われているようだ。もしや，CC対応？ valgrind:Valgrind Home メモリリークなどを見つけるツールらしい。SELinuxのライブラリとかの検査にも使われている。

日経Linux2005年9月号 「特集２：SELinuxがゼロから分かる セキュアなSambaサーバーを構築しよう」 を担当しています。Sambaはオマケで，実はSELinux初心者用の記事となっております。今までSELinuxを反射的にオフにしていた方は是非どうぞ。 「Fedora Core …

日本語texファイルを開くとなぜかShift-JISになっていた問題。 (setq YaTeX-kanji-code 3) として，EUCにする。 さもないとFC4でlatex2htmlがとおらない。

Simplified Policyの変更部分のGUIへの反映 allow exclusive -all ;への対応 動的生成ファイルの「プロパティ」からの設定は，閲覧オンリーに。 -all対応したとたん，applyすると設定が消えるバグに遭遇したため。 どこから直すか見当がつかないorzなので，…

Simplified Policyの変更に対応したＧＵＩの修正。 allowfs,allowpriv,allowkernel,allowseop対応分を作成。perlは大変だ…タイプミスがバグの原因になるのがつらい。 use strictで変数宣言強制しようとすると， webminのAPIでちゃんと宣言してないので，変数…

allowtmpfsの統合 文法見直し続き。 allowtmpfsが冗長かつ柔軟じゃないことに気づく。将来file_type_transをサポートする別のファイルシステムが出てきたら終わり。 allowfsに統合。 (1) allowfs tmpfs <permissions>; で，普通のtmpfsのファイルへのアクセス制御。 (2) a</permissions>…

Simplified Policy1.2の機能*1は大体完成かな？ デバイスファイルのアクセス制御 全ファイル種別を一緒に扱っては，悪意あるデバイスを作られるからまずい，と昨年のSELinux Symposiumで指摘された。かといって，ファイルのアクセス制御で，ファイル種別を増…

オブジェクトクラスcapability, system, processを見直し，サポートすべきパーミッションを洗い出した。詳細はそのうち論文か大学向けのレポートでまとめると思う。議論したい人は，ynakamに続けて@gwu.eduまでメール下さい。 パーミッションをサポートする…

最近，研究室から物が無くなっている…私物のマシンのマウスが行方不明。同僚の学生のＣＤＲも無くなったらしい…誰の仕業だ？ これじゃラップトップ置いて外出できないなぁ。 先生も一ヶ月以上行方不明…

動的ドメイン遷移サポート Object Class capability, processのサポート見直し。 その中で，「動的ドメイン遷移」サポートがないことに気づいた。 domain_trans とすれば，setconを使った動的ドメイン遷移をサポートする*1 (権限はmacros/seedit_macros.te -…

台湾人の新入生と食事 台湾では，「Linux」の発音は、「らいなっくす」ということが多いようだ。他にに「りなす」と言っている台湾人を見たことがある。 ちなみに、アメリカ人は普通「りぬくす」と発音している。「SELinux」も「えすいーりぬくす」と言うの…

allowprocの見直し&仕様変更 allowproc はselfとotherのみが使える。 allowproc -proc, -kmsg, -systemは廃止。 他のallowfsの要素と比べて特別扱いする理由がないので，かえって紛らわしい。 これらの変わりに，allowfs proc, proc_kmsg, proc_kcoreを使う…