tomld #4

Előzmények: itt, itt és itt.

Új verzió: v0.17

Több kényelmi dolgot is beletettem, főként a rekurzív kapcsoló érdekes. Ez arra jó, hogy megmondjuk neki hogy az ez alatti mappákat csillagozza ki. Pl. samba megosztásnál fontos.

Tehát -R /home/user/.mozilla megadásával, ennél a mappánál:

/home/user/.mozilla/firefox/03542674/\*

ezt kapjuk:

/home/user/.mozilla/\*/\*/\*

Fontos működési változás még, hogy a fájl létrehozásánál, ugyanarra a szabályra megadom a törlés + írás/olvasást is. Ez rendszeresen visszatért az access deny log-ban, mert általában a program csak bezáráskor töröl fájlokat, illetve később olvassa azt amit létrehoz, meg egyébként is ha már létrehozhatta, akkor megváltoztathatja a tartalmát.

A Tomoyo levlistán nekiálltak tesztelni és kaptam pozitív visszajelzést, jó lett volna ha itt is tesztelik néhányan. Sajna sok bug-ot javítottam már, és jó lenne stabilizálni a kódot.

Közben most lett időm arra, hogy utána nézzek hogy mi a helyzet az rpm-es disztrók Tomoyo támogatásával. Sajnos se Fedora, se CentOS, se openSUSE nem engedélyezi Tomoyo-t a kernelben gyárilag (amit spec. nem értek, mert ha nem azzal indul a kernel, akkor nem aktív, vagy hát gondolom az AppArmor és SElinux-ra szeretnék ha a user-ek fordítanák a figyelmüket, külön Tomoyo-ért kernelt valszeg sokan nem fordítanak). És mivel RH-re épül CentOS is, ezért ott megírták hogy nem fognak más patch-et támogatni. Érthető egyébként.

Marad egyelőre Debian és Ubuntu támogatás. Vagy teszek bele egy egyéb kapcsolót, hogy nem gyári kernelhez lehessen futtatni, ha a helyükön vannak a tomoyo-tools binárisok, és ahogy néztem Suse-n is azonos (/usr/sbin).

Kieg.: sebességre is gyorsabb lett, most a gépemen 2000 szabályt feldolgoz olyan 0.5 sec alatt. A videóban amit csináltam, sajna a gyorsan összedobott virtuális gép I/O teljesítménye szar volt, ezért a nagy futási idő.

( Mcsiv v | 2011. 03. 23., sze – 16:36 )

Grat és respect a kezdeményezéshez, illetve a már kész produktumhoz.
Szivesen segítenék, de sajnos nincs olyan rendszer a kezem alatt, ahol alkalmazhatnám:)

kösz ha megnézed, csak ugye a kód még nincs felkészítve centos-re. legfeljebb írd át akkor magadnak az if feltételes részeket.

elvileg elég ha a security=tomoyo paraméterrel indul a kernel, és legyen meg a tomoyo-savepolicy és tomoyo-loadpolicy tool-ok binárisa /usr/sbin -ben.

meg a támogatott tomoyo verzió 1.7, illetve tomoyo-tools 2.2. (ja közben láttam hogy 1.7-es az általad adott linken is).

egyébként ha van beállított selinux, a hivatalos dokumentáció szerint az is összefér a tomoyo-val.