2006-02-01から1ヶ月間の記事一覧
Symposium直前でとても忙しくなった。 やっと発表資料完成^^;) 我が家のlaptopでseeditを動かしてみた。 pcmcia回りで発見。 pcmciaサービス(cardmgr)は、/var/lib/pcmcia以下に動的にデバイスを作ったりするらしい。 いまのところ、/dev以外にデバイスを作…
これまで実装した内容のテスト。とりあえずdenyログが無くなったようだ。 CVSリポジトリとディレクトリ構造の大掃除。 「seedit」モジュールに全てを集約。 cvs co seedit で、全部取れます。ちなみに、sourceforgeでは、一度モジュール登録すると、簡単には…
デバイス保護機能のテスト tmpfsにデバイスを作ることがあることが判明。 /etc/rc.sysinitから起動するスクリプトがtmpfsにデバイスを作るらしい. denypriv文の追加 { domain global; .. allowpriv sys_admin; のようにglobalドメインで設定したとしても、 …
yumでSRPMをダウンロードする http://www.atmarkit.co.jp/flinux/rensai/linuxtips/853downsrpm.html 知らなかった…これは便利。
すっかり忘れてたので確かめる。 restorecon,setfilesは,シンボリックリンクを辿らない。いいかげんな例: (/etc/init.dは/etc/rc.d/init.dを辿ってる) /etc/init.d/yum system_u:object_r:file_t とfile_contextsの末尾に記述#restorecon -R /etc #fixfile…
http://danwalsh.livejournal.com/424.html をのぞいてみた。 おお、TOMOYO Linuxの中の人が降臨してるな^^;) >I want SELinux to consider pathname-based approach to become more user friendly. ありがとう! > 書いてくれた人パス名ベースのアクセス制御…
getElementByIdしようとしたらうまくいかず。 ーXMLドキュメント内部にDTDがある場合 OK XMLドキュメント外部にDTDがある場合 NG だった。 pythonが処理する XMLを生成する際に,C言語のlibxml2で生成しているが、 XMLドキュメント内部にDTDを含める関数が見…
id:himainu:20060215 id:himainu:20060216で失敗した、dir:searchのサポートだが、 方法をかえて再チャレンジ。今度こそうまくいった? コンパイルフラグで -DDIRSEARCHとすると有効になる。 方針 allow/denyルールで出てくるディレクトリを親ディレクトリ含…
開発者ですら忘れそう(実際忘れてた…)なので、まとめ直す。 1) パス名からタイプを生成 allow /etc r,s; とあれば、 /etc -> etc_tというタイプを生成。 convert.c create_file_label_table(domain_hash_table); でそれをやってる。 2) type文を出力 conver…
昨日の方法でとりあえず実装できた。 が、出力されるポリシのサイズ(ルール数)が2倍に… コンパイルにも時間がかかるようになってしまった。うーむ。 make relabelにも異常に時間がかかる… こりゃ駄目かも? dir:searchサポートをなくす方法 いつでも戻せる…
ファイルがディレクトリか否かを確認するために、statを使う。正しい方法:S_ISDIRを使う S_ISDIR(buf.st_mode)間違った方法:S_IFDIRを使う buf.st_mode & S_IFDIR とすると、デバイスもマッチしちゃう。 S_IFDIRを使うなら ((buf.st_mode) & S_IFMT) == S_…
せっかくオブジェクト指向やるので、デザインパターンも使ってみよう。 GUIの共通パラメータ(XMLドキュメント,GUIのステータス)を構造体として持たせて、こいつはグローバル変数にしたいのだが、オブジェクト指向的にやるとsingletonなるものを使うらしい。P…
以前から気になっていたもの。改めて考え直し、実装。 dir:searchのチェックされる箇所 1) may_linkの中で dir:remove_name,dir:add_nameと一緒にチェックされる。 may_renameの中で、dir:remove_nameなどと一緒に。 2) ディレクトリに対するMAY_EXECの中で…
http://sylpheed.good-day.net/ja/news.html こりゃいい!会社に帰ったら使おう。 Gtkで実装されてるのかぁ。Gtkもクロスプラットフォームなんだなぁ。 pythonも、Windows用があるらしいので SELinux Policy EditorのWindows用GUIってのも案外あっさりできた…
ファイル選択ダイアログだが、FileSelectionではなくて、FileChooserを使うらしい。 http://www.pygtk.org/pygtk2tutorial/sec-FileChoosers.html
Smalley氏が、なにやら受賞したらしい。 http://www.dni.gov/release_letter_021006.html 研究費$200,000か! Smalley氏は、まさに、この研究費にふさわしい人だろう。
端末デバイス調査 端末に関連したデバイスを見てみる。 普通の端末 man 4 tty /dev/tty(数字) これのいずれかをユーザの端末として使う。ロールに基づいたタイプが付与される。 /dev/tty0 現在の端末を表す。 /dev/tty 現在の端末を表す。加えて、これをioct…
/root以下のファイルにデフォルトと違うタイプを付与したいのだが、うまくいかない。semanageコマンドでも付与できない。 解決法1 原因は、ホームディレクトリのタイプはfile_contextファイルと別管理されていることにある。ホームディレクトリ関係は、/etc…
selinux-usersに流れていた記事。 http://itpro.nikkeibp.co.jp/article/NEWS/20060213/229065/ 「あるある」と,つい思ってしまう。 (開発者が所属する)企業がオープンソース活動を仕事として認めてくれることは基本的にない」(ひが氏)。 そのとおり!or…
メニュー画面に使うWidgetの使い方がやっと分かった… こんな感じ。 http://seedit.sourceforge.net/test/seedit-gui.py python seedit-gui.pyで、実行可能。コンパイルいらないし、サクサク書けるし、クラスにできるし、 起動も早いしpygtkサイコー! ネイテ…
TOMOYO LinuxのSYAORANファイルシステムにインスパイアされ、新文法 allowdev -root ファイルシステム名>; を追加。 概要 allowdev -root ファイルシステム名>; は、<パス or ファイルシステム名>がデバイスを格納するディレクトリであることを指定する。(…
ようやくGUIに手を付けようと思い始める。 で、画面設計を開始。トップレベルの画面設計はこんな感じ。
Pygtkのチュートリアルでpygtkを勉強。 connect とconnect_object connectとconnect_objectの違いがよくわからん。 で、調べたら、以下のように出てきた。 http://www.kmc.gr.jp/~ranran/memo/gtk.1998-1.html より引用 gtk_signal_connect() と gtk_signal_…
さて、新SELinuxばっかやってたけどSELinux Policy Editorの研究も再開。 ファイルのアクセス制御の見直しポイント 通常ファイルのパーミッション(岡山大と共同) dir:searchの問題以外は大体まとまった デバイスファイル マウント特権の扱い この中でも,デ…
zchanさんによるRPMファイルが用意されている。 http://zchan.homeunix.net/pub/Fedora.APP/LXR/RPMS/ とりあえずポリシーのlxrが作れた!神です。ありがたい!手順メモ:FC4で。 lxrという名前のユーザを作る yum install postgresql-server vi /var/lib/pg…
最近感じたアクセスベクタパーミッションの問題をメモしておこう。 TCP/UDP通信のプロセス間通信の制御できない ポート番号ベースではできるが 粒度の大きなパーミッション CAP_SYS_ADMIN(capability:sys_admin)で制限される権限のうち、SELinuxのパーミッシ…
沢山コメントがあったので、こちらで失礼します。 kaigaiさん 代替手段を用意するためにLSMを作ったはずなのに、最近はSELinuxのためのフックみたいになって、ちょっと見ていてアレ?ってのはありますね。 SELinuxで不要になったから post_inode_XXXX() が大…
昨日の日記、朝起きたらすごいコメントがついてる… 少し釣ってみたつもりでしたが、びっくりです。 誤解のなきよう、コメントを見て思ったこと&私の考えを書いてみる まず注意点 昨日の日記は、Dan氏の個人ページに書いてあることを「私が勝手に意訳,要約…
Dan氏のAppArmorについての思い ★注意:誤解がなきよう、この日の内容の注意点をid:himainu:20060211に書いときました。★http://danwalsh.livejournal.com/ こりゃ面白い。 Dan WalshのAppArmorについての思い。 勝手に意訳を交え要約すると、 UNIXの世界の…
ひさびさに、「その他」トピックをここに。 せっかく学生の身分があるので&SELinux Symposium高過ぎなので、 SELinux Symposiumを学割で申し込んだのだが、事務局から、学生であることの証明を送れときた。学生証じゃダメらしい…意外とちゃんとしてやがる。 …