Egybe szeretném gyűjteni a felmerülő kérdéseket és visszajelzéseket tomld-vel kapcsolatban.
Ide tartozó szálak: 1
- 8385 megtekintés
Hozzászólások
14:06:57 Az első access tiltás
14:12:42 -kor került be a tomld.log-ba, hogy temporary learning mode, bár a hibával megegyező időben kértem
14:15:59 újra reprodukáltam a hibát
14:17:20 észrevette, hogy volt access tiltás
14:30:05 -kor még fennáll a tiltás
14:44:23 -kor veszi észre, hogy volt újra próbálkozás
Aztán megjavult... A tomld 100%-ra fogyasztja az egyik cpu-t amióta bekapcsoltam a gépem...
Ez normális viselkedés?
Aug 8 14:06:57 szimszon-Aspire-5742G kernel: [ 1343.221403] ERROR: Access read /etc/ld.so.cache denied for /usr/bin/python2.7
Aug 8 14:06:57 szimszon-Aspire-5742G kernel: [ 1343.221453] ERROR: Access read /lib/i386-linux-gnu/libpthread-2.13.so denied for /usr/bin/python2.7
==> /var/log/tomld.log <==
* first whole running cycle took 1661.19s
(press q to quit)
* user request for temporary learning mode (max 1 hour) at Mon Aug 8 14:12:42 2011
==> /var/log/syslog <==
Aug 8 14:15:59 szimszon-Aspire-5742G kernel: [ 1884.872070] ERROR: Access read /etc/ld.so.cache denied for /usr/bin/python2.7
Aug 8 14:15:59 szimszon-Aspire-5742G kernel: [ 1884.872122] ERROR: Access read /lib/i386-linux-gnu/libpthread-2.13.so denied for /usr/bin/python2.7
Aug 8 14:17:01 szimszon-Aspire-5742G CRON[3803]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
==> /var/log/tomld.log <==
* access deny log messages at Mon Aug 8 14:17:20 2011
/usr/bin/python2.7 allow_read /etc/ld.so.cache add rules? (y)
/usr/bin/python2.7 allow_read /lib/i386-linux-gnu/libpthread-2.13.so add rules? (y)
/usr/bin/python2.7, switch to learning mode
* switch domains with new rules to learning mode
==> /var/log/syslog <==
Aug 8 14:30:05 szimszon-Aspire-5742G kernel: [ 2730.939442] ERROR: Access read /etc/ld.so.cache denied for /usr/bin/python2.7
Aug 8 14:30:05 szimszon-Aspire-5742G kernel: [ 2730.939495] ERROR: Access read /lib/i386-linux-gnu/libpthread-2.13.so denied for /usr/bin/python2.7
==> /var/log/tomld.log <==
* access deny log messages at Mon Aug 8 14:44:23 2011
/usr/bin/python2.7 allow_read /etc/ld.so.cache add rules? (n)
/usr/bin/python2.7 allow_read /lib/i386-linux-gnu/libpthread-2.13.so add rules? (n)
- A hozzászóláshoz be kell jelentkezni
16:21:33 tomld:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1808 root 20 0 100m 55m 620 R 100 1.5 154:32.35 tomld
- A hozzászóláshoz be kell jelentkezni
"whole running cycle took 1661.19s"
Ez abszolute nem jó viselkedés persze, másodperceken belül le kellene futnia :)
Ha nem probléma, tudnál küldeni egy teljes tomld.log-ot nekem a mail címemre? Utána megpróbálom kideríteni, hogy miért pörgetheti nálad a procit.
A kernel log-ban lévő üzenet normális, oda is bekerül a tiltás, ezt Tomoyo teszi meg.
- A hozzászóláshoz be kell jelentkezni
levél ment, a log69.com-on lévő címre.
- A hozzászóláshoz be kell jelentkezni
Nagyon hasznos volt, hogy a log mellé a config-ot is elküldted. Meg is van a hiba (remélem mehet publikusba amit írok):
Tehát látom van encrypt FS is. Na most ez a fájl neveket is titkosítva tárolja, ergó soha nem lesz match. Ennek gyors megoldása, ha beteszed a tomld.conf-ba a [recursive] tag alá ennek elérését. Illetve a firefox kukája is hosszú random nevű mappákat használ. A sima configjában csak 1 karakter:
~/.mozilla/firefox/65hrge53.ee5/Cache/0/\*/\*
~/.mozilla/firefox/65hrge53.ee5/Cache/5/\*/\*
~/.mozilla/firefox/65hrge53.ee5/Cache/A/\*/\*
...
Míg a kukája így néz ki:
~/.mozilla/firefox/65hrge53.ee5/Cache.Trash/Trash/Cache/4/5D/\*
~/.mozilla/firefox/65hrge53.ee5/Cache.Trash/Trash/Cache/1/AB/\*
~/.mozilla/firefox/65hrge53.ee5/Cache.Trash/Trash/Cache/4/EF/\*
~/.mozilla/firefox/65hrge53.ee5/Cache.Trash/Trash/Cache/8/F5/\*
...
Légyszíves tedd be ezt is, és ezen elgondolkozok még a jövőre nézve. Pl.:
[recursive]
/home/user/akarmi/.Private
/home/user/.mozilla
Összegezve a probléma a véletlen nevű mappa nevekkel volt. Jelen esetben több mint 29 ezer sort jelentett a domain configban, ez már tetemes mennyiség a többszörösen egymásba ágyazott rendezésekhez.
Ha valaki teszteli a progit és lassúnak ítéli, akkor szíveskedjen átnézni az /etc/tomoyo/domain_policy.conf fájlt és keressen sok egymás alatti hasonló bejegyzést, és ha az eléréi út tartalmaz véletlennek tűnő mappa nevet, akkor azt be kellene tenni a config-ba ahogy feljebb írtam, és nagyon megköszönném ennek az elérési útnak a nevét a domain nevével együtt megkaphatnám.
- A hozzászóláshoz be kell jelentkezni
Okay köszi a gyors választ, jelenleg kipróbálom ezt:
[recursive]
/home/.ecryptfs/\*/.Private
/home/\*/.cache
/home/\*/.Private
/home/\*/.mozilla/firefox/\*/Cache
/home/\*/.mozilla/firefox/\*/Cache.Trash
/home/\*/.thunderbird/\*/Cache
remélem jól értettem a wildcard használatát...
- A hozzászóláshoz be kell jelentkezni
Igen, erre van, így szuper.
- A hozzászóláshoz be kell jelentkezni
Pár tomld.conf szerkesztés ([recursive]) és újraindítás után egyszer csak eltűntek a /etc/tomoyo beállítások (gyűjtött szabályok).
- A hozzászóláshoz be kell jelentkezni
pontosan milyen op rendszer és milyen kernel? 32 vagy 64 bit?
meg hogy érted hogy eltűnik? a domain_policy.conf fájl tűnik el, vagy annak tartalma?
- A hozzászóláshoz be kell jelentkezni
ubuntu 11.04. 32 bit. Logban nincs semmi érdekes, látszik, hogy elindulgat a tomld daemon, leállásnál viszont nem írja ki a használat során összegyűjött statisztikát ami az erőforrások használatára vonatkozik...
started at Tue Aug 9 22:54:12 2011
tomld (tomoyo learning daemon) 0.40
* exception domains
/bin/bash /bin/dash /bin/rbash /bin/sh /sbin/init /usr/bin/screen /usr/sbin/sshd /usr/sbin/tomoyo-loadpolicy
* new processes using network
/usr/sbin/avahi-daemon
/usr/sbin/cupsd
/sbin/dhclient
/usr/bin/pidgin
/usr/bin/skype
/usr/lib/thunderbird-5.0/thunderbird-bin
* already existing main domains
avahi-daemon cupsd dhclient pidgin skype thunderbird-bin
* checking policy and rules
/home/szimszon/prg/eclipse/eclipse, domain exists, learning mode on
/proc/10151/exe, domain exists, learning mode on
/proc/7674/exe, domain exists, learning mode on
/sbin/dhclient, domain exists, learning mode on
/usr/bin/gedit, domain exists, learning mode on
/usr/bin/pidgin, domain exists (restart needed), learning mode on
/usr/bin/python2.7, domain exists (restart needed), learning mode on
/usr/bin/skype, domain exists, learning mode on
/usr/bin/ssh, domain exists, learning mode on
/usr/lib/apt/methods/http, domain exists, learning mode on
/usr/lib/firefox-5.0/firefox-bin, domain exists, learning mode on
/usr/lib/thunderbird-5.0/thunderbird-bin, domain exists (restart needed), learning mode on
/usr/sbin/avahi-daemon, domain exists (restart needed), learning mode on
/usr/sbin/cupsd, domain exists (restart needed), learning mode on
/usr/sbin/ntpdate, domain exists, learning mode on
* first whole running cycle took 4.62s
(press q to quit)
/usr/bin/skype, changed 32 seconds ago, 0% complete
itt kapott egy „service tomld restart” -ot.
És itt már nincsenek meg a domain_policy adatok:
started at Tue Aug 9 22:57:52 2011
tomld (tomoyo learning daemon) 0.40
* exception domains
/bin/bash /bin/dash /bin/rbash /bin/sh /sbin/init /usr/bin/screen /usr/sbin/sshd /usr/sbin/tomoyo-loadpolicy
* new processes using network
/usr/sbin/avahi-daemon
/usr/sbin/cupsd
/sbin/dhclient
/usr/bin/pidgin
/usr/bin/skype
/usr/lib/thunderbird-5.0/thunderbird-bin
* checking policy and rules
/sbin/dhclient, no domain, create domain with learning mode (restart needed)
/usr/bin/pidgin, no domain, create domain with learning mode (restart needed)
/usr/bin/skype, no domain, create domain with learning mode (restart needed)
/usr/lib/thunderbird-5.0/thunderbird-bin, no domain, create domain with learning mode (restart needed)
/usr/sbin/avahi-daemon, no domain, create domain with learning mode (restart needed)
/usr/sbin/cupsd, no domain, create domain with learning mode (restart needed)
* first whole running cycle took 0.01s
(press q to quit)
6 active domains, 35 rules
cycle times min/avg/max 0.01/0.02/0.02 sec
used cpu 0.72 %, vm peak 4.6 MB, rss peak 3.2 MB
ended at Tue Aug 9 23:00:10 2011
Viszont a végén van statisztika...
És azóta is van... mondjuk azóta nem változtattam a tomld.conf-on...
Sajnos egyenlőre nem tudom reprodukálni :(
- A hozzászóláshoz be kell jelentkezni
akkor tudnék elképzelni ilyet, ha sigterm helyett sigkill-t kapna, de ahogy írtad, ha csak a service paranccsal állítottad le, akkor furcsa hogy nem írta be.
addig tesztelem ezt a részt én is, remélem előjön.
- A hozzászóláshoz be kell jelentkezni
most frissítettem dátum: 2011/08/09 -re
- A hozzászóláshoz be kell jelentkezni
Ez amiatt volt, mert ha megváltoztatom az UID mejegyzésemet tomld-ben, akkor törölni fogja az előzőt. Ez pont arra van, hogy mivel még fejlesztői állapot és változtatok a szabályok struktúrájában, akkor lehet hogy az előző begyűjtött szabály inkompatibilis lesz, és ezért töröltetem direkt hogy újra kezdje.
Természetesen ez csak addig van, míg fejlesztői állapotú a program.
- A hozzászóláshoz be kell jelentkezni
Nem lenne kedved megint letesztelni nekem? Most töltöttem fel.
Megoldottam a véletlen nevű mappák kérdését. Ha megnézed, megtennéd hogy alapértelmezetten hagyod a tomld.conf fájlt? Arra lennék kíváncsi, hogy jó lesz-e minden fajta manuális beállítás nélkül. Hiszen pont ez a célom kompromisszumok nélkül, hogy az install után hozzá nem nyúlva minden féle környezetben és alkalmazással működjön.
Mostani tesztelésem alapján kicsillagozza a firefox Cache-t és hasonlókat.
- A hozzászóláshoz be kell jelentkezni
töröltem a beállításokat, alap konfigot feltettem, reboot megvolt...
- A hozzászóláshoz be kell jelentkezni
szemeteli a logot, újra és újra beírja kb. 10 mp-ként:
==> /var/log/tomld.log <==
/sbin/dhclient, no domain, create domain with learning mode
/usr/bin/pidgin, no domain, create domain with learning mode (restart needed)
/usr/lib/firefox-5.0/firefox-bin, no domain, create domain with learning mode (restart needed)
/usr/lib/jvm/java-6-sun-1.6.0.26/jre/bin/java, no domain, create domain with learning mode (restart needed)
/usr/lib/thunderbird-5.0/thunderbird-bin, no domain, create domain with learning mode (restart needed)
/usr/sbin/avahi-daemon, no domain, create domain with learning mode (restart needed)
/usr/sbin/cupsd, no domain, create domain with learning mode (restart needed)
/usr/sbin/ntpdate, no domain, create domain with learning mode
- A hozzászóláshoz be kell jelentkezni
reboot után jónak tűnik.
Lehet az volt a baj, hogy amikor töröltem mindent, a /etc/tomoyo-t is... :) ami az első reboot során újra létrejött és keletkeztek is bele adatok, de lehet a tomld-nek (restart is volt) nem tetszett. :-o Reboot után most nincs logismétlés..
- A hozzászóláshoz be kell jelentkezni
Továbbra is vannak Cache encrypt könyvtárak, stb.:
allow_unlink /home/\*/.purple/\*
allow_unlink /home/\*/.purple/certificates/x509/tls_peers/\*
allow_unlink /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUv10-pCsfRfs11BDDPgFBb---/\*
allow_unlink /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUws8x-isQcAVqN9OOdk.NkU--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUIegmZAMsBnPis.yt5RmaI---/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUeNvQRC6tka8C5BD96E3s3E--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUdkoMjvmQer-hedLEB1rnzk--/\*
allow_unlink /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUws8x-isQcAVqN9OOdk.NkU--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUOfWqNB5oAxquULT4VgH9OE--/\*
allow_unlink /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUws8x-isQcAVqN9OOdk.NkU--/\*
allow_unlink /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUx9Wkk6mkK2i5W7mzKGsf8U--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDU04bxoF.X9f0RCLkA9JGcKE--/\*
allow_chmod /home/\*/.config/ibus/\*/ 0-0xFFFF
allow_create /home/\*/.java/deployment/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/0/84/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/0/C1/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/0/CF/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/41/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/5C/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/92/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/EA/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/09/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/83/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/4/67/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/4/93/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/4/C4/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/4/F4/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/5/29/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/5/BA/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/5/C5/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/5/D3/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/5/EA/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/6/69/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/6/80/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/7/64/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/7/6B/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/7/9C/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/8/33/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/8/3A/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/8/44/\* 0-0xFFFF
- A hozzászóláshoz be kell jelentkezni
restartkor nem volt stat a logban... (visszatettem a régi tomld.conf-ot)
- A hozzászóláshoz be kell jelentkezni
Köszi, megnézem és dolgozok rajta, aztán jelzek.
- A hozzászóláshoz be kell jelentkezni
Feltöltöttem megint egy frissítést. Megnéznéd most?
Nem kell config-ot törölni. Csinálnál néhány restart-ot? Vajon most is előfordul hogy néha hiányzik a stat a log fájlban?
A cache részhez: segítség lenne nekem ha alap config-al futtatnád egy ideig. Bizonyos idő múlva folyamatosan tisztítja elvileg a random részeket. Tehát egy futásra nem biztos, mert több ismétlődő résznek egybe kell gyűlnie. És ezeket rendezi. Ezt teszteltem több rendszer alatt, pl. a Firefox-ot is kitisztítja és egy idő után így eltűnnek a Cache almappái miatti hosszú bejegyzések.
Ha így használnád, egy stat-ot jó lenne látnom. Kíváncsi lennék milyen terhelést okoz fél vagy 1 óra futás után normál rendszerhasználat mellett.
Kösz.
- A hozzászóláshoz be kell jelentkezni
frissítettem, jelenleg a tomld.conf:
-- cut --
[mail]
root
[notify]
notify-send --expire-time 10000 "Tomld"
-- cut --
a /etc/tomoyo -ból nem töröltem semmit, stat egyenlő van.
- A hozzászóláshoz be kell jelentkezni
Köszi.
- A hozzászóláshoz be kell jelentkezni
Kérdés,
ha a /etc/tomoyo alól nem töröltem a már összeszedett szabályokat és illeszkedik a firefox Cache könyvtárára, akkor hiába veszem ki a tomld.conf rekurzívből, nem fog átmenetileg sem létrejönni szabály a Cache könyvtár belsejére, nem?
- A hozzászóláshoz be kell jelentkezni
Így van. Tehát a már kicsillagozott szabályok nem váltanak vissza eredetire, mert ugye a kicsillagozott rész illeszkedik a bejövőre (ami bejöhetne, de az illeszkedés miatt nem jön értelemszerűen).
Sajna ez nehéz a tesztelésben ennél, hogy néha mindig újra kell építeni előről a szabályokat, hogy megtudjam, egy módosított funkció hogy működik. Ez sok időt elvesz.
- A hozzászóláshoz be kell jelentkezni
Ok. töröltem a /etc/tomoyo tartalmát.
Hiba volt :) Innentől nem boot-olt az Ubi... recovery mode... az egyedüli ami működött (grub-ban a security opció kikapcsolva), hogy magát a /etc/tomoyo könyvtárat is töröltem, majd csináltam egy normál boot-ot. Így már el is indult az OS. Ezután még egy reboot és nem szemetel a logba...
Kíváncsi leszek, hogy hogy alakulnak majd a szabályok... de lehet hogy kezdeni kellene valamit, ha nincs meg a /etc/tomoyo-ban aminek lennie kell a rendszer nem indul el, mondjuk ez lehet feature is :-D
Na joccakát.
- A hozzászóláshoz be kell jelentkezni
Ne az /etc/tomoyo-t töröld, hanem futtasd tomld-t --clear opcióval :)
A --clear nem csak az /etc/tomoyo/ szabályait törli, hanem az új üreseket be is tölti a kernelbe futtában. Tehát reboot sem kell. Ami a mappában marad, azok régi configok backup-jai. Nem zavarnak semmit.
Ha törlöd az /etc/tomoyo-t, akkor a linux indulásakor a kernelbe nem tudja a tomoyo_init betölteni a kezdeti szabályokat. Ekkor a megoldás, hogy újra boot-olsz, de a grub-ból kikapod a "tomoyo=security" kernel paramétert erre az indulásra, aztán tomld --clear.
Szóval mindig --clear kapcsolóval törölj, ekkor legalább megmaradnak az előző szabályok elmentve az /etc/tomoyo-ba, ettől még azok nem fognak zavarni, és teljesen alapba áll vissza.
Az /etc/tomoyo mappa pedig kell, azt nem írta senki hogy nem. Ezt a Tomoyo kernel modul használja. Tomoyo-t pedig tomld használja.
A tesztelést megint köszi.
- A hozzászóláshoz be kell jelentkezni
Üres /etc/tomoyo könyvtárral csak security=tomoyo kernel paraméter kikapcsolásával tudtam boot-olni, viszont akkor a tomld sehogy sem futott --clear sem. Csak a /etc/tomoyo könyvtár törlése volt a megoldás.
Igen tudom hogy van egy --clear opció, mind1. Tutira akartam menni, meg késő is van, ugyhogy ez most 1bites user teszt volt. FAQ-ba le lehet írni ha valaki mégis elköveti azt amit én, akkor mit tud csinálni :-D
eddig:
12 active domains, 1317 rules
cycle times min/avg/max 0.03/0.30/2.49 sec
used cpu 2.02 %, vm peak 6.9 MB, rss peak 5.1 MB
ended at Fri Aug 12 23:34:48 2011
- A hozzászóláshoz be kell jelentkezni
Ok, ez a stat normális eddig.
- A hozzászóláshoz be kell jelentkezni
error: cannot stat file /var/log/messages -- ubuntu 11.04
- A hozzászóláshoz be kell jelentkezni
Javítva és frissítettem.
- A hozzászóláshoz be kell jelentkezni
Stat megint eltűnt :(
sudo tomld -l -1
started at Sat Aug 13 20:18:57 2011
tomld (tomoyo learning daemon) 0.40
Linux version 2.6.38-10-generic-pae (buildd@vernadsky) (gcc version 4.5.2 (Ubuntu/Linaro 4.5.2-8ubuntu4) ) #46-Ubuntu SMP Tue Jun 28 16:54:49 UTC 2011
* mail requested but binary /usr/sbin/sendmail missing
* exception domains
/bin/bash /bin/dash /bin/rbash /bin/sh /sbin/init /usr/bin/screen /usr/sbin/sshd /usr/sbin/tomld /usr/sbin/tomoyo-loadpolicy
* new processes using network
/usr/sbin/avahi-daemon
/usr/sbin/cupsd
/sbin/dhclient
/usr/bin/pidgin
/usr/lib/firefox-5.0/firefox-bin
/usr/lib/thunderbird-5.0/thunderbird-bin
* user request for temporary learning mode (max 1 hour) at Sat Aug 13 20:18:57 2011
* already existing main domains
avahi-daemon cupsd dhclient firefox-bin pidgin thunderbird-bin
* checking policy and rules
/sbin/dhclient, domain exists, learning mode on
/usr/bin/gpg, domain exists, learning mode on
/usr/bin/pidgin, domain exists, learning mode on
/usr/lib/firefox-5.0/firefox-bin, domain exists, learning mode on
/usr/lib/jvm/java-6-sun-1.6.0.26/jre/bin/java, domain exists, learning mode on
/usr/lib/thunderbird-5.0/thunderbird-bin, domain exists, learning mode on
/usr/sbin/avahi-daemon, domain exists, learning mode on
/usr/sbin/cupsd, domain exists, learning mode on
/usr/sbin/ntpdate, domain exists, learning mode on
* first whole running cycle took 3.65s
19 active domains, 2264 rules
cycle times min/avg/max 3.65/3.65/3.65 sec
used cpu 80.00 %, vm peak 8.6 MB, rss peak 5.5 MB
ended at Sat Aug 13 20:19:02 2011
- A hozzászóláshoz be kell jelentkezni
A log fájlból tűnt el megint? És milyen művelet közben? service tomld restart? Vagy reboot?
- A hozzászóláshoz be kell jelentkezni
Igen a log fájlból, service tomld restart -nál nincs stat... :-o
domain_policy 391,258 bájt
- A hozzászóláshoz be kell jelentkezni
gép reboot után sincs stat a logban service tomld restart-ra :-o
- A hozzászóláshoz be kell jelentkezni
Ok, végre sikerült lenyomoznom a hibát. A service script-emben a "--retry 1" kapcsoló volt a hibás, maximum 1 másodpercet várt így tomld folyamat kilépésére TERM signal után, aztán küldte is rá a KILL sig-et.
Most 60-ra átállítottam, többet nem számítanék hiányzó stat-ra :)
Javítva és feltöltve az új verzió.
Sebesség milyen így a használt CPU-ra vonatkozólag több órás futás után? Eredeti configgal van? Kiszedte a sok Cache bejegyzést?
- A hozzászóláshoz be kell jelentkezni
43 active domains, 4748 rules
cycle times min/avg/max 5.35/5.35/5.35 sec
used cpu 26.83 %, vm peak 9.4 MB, rss peak 6.1 MB
ended at Sat Aug 13 22:07:08 2011
van stat.
a sebesség még jó, de a domain_policy nő.
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache/\* 0-0xFFFF
allow_create /home/\*/.thunderbird/yskcm8mj.default/Cache/\* 0-0xFFFF
ez jónak tűnik, de az encrypted fs bejegyzések sajnos nem tűnnek el:
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUt8o3AQBt3NJIdg.tZc-1bk--/ECRYPTFS_FNEK_ENCRYPTED.FXbdehxsbJLcmkR-Fst
VQH1Epw6W4bGb0CDUFILKIIVpEOWeAVFX0ajC1VwsPybzk-qfzfKXsAKdgoo-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUkBuESV27ehLLHnx-Fp-0g---/ECRYPTFS_FNEK_ENCRYPT
ED.FXbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUmfsZ.KVWkrkespZCEHR4oIJ9YcrgmbtaNvjXZwAH7Mc-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUj1OX7NruusEmtXDK.z4YT---
/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUL4nxj0gtYotV9uW53WrMVk--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUt8o3AQBt3NJIdg.tZc-1bk--/ECRYPTFS_FNEK_ENCRYPTED.FXbdehxsbJLcmkR-Fst
VQH1Epw6W4bGb0CDUFILKIIVpEOWeAVFX0ajC1VwsPybzk-qfzfKXsAKdgoo-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUkBuESV27ehLLHnx-Fp-0g---/ECRYPTFS_FNEK_ENCRYPT
ED.FXbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUmfsZ.KVWkrkespZCEHR4oIJ9YcrgmbtaNvjXZwAH7Mc-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUR6vtAZuXeDzFNUNgNjqPrk--
/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUt8o3AQBt3NJIdg.tZc-1bk--/ECRYPTFS_FNEK_ENCRYPTED.FXbdehxsbJLcmkR-Fst
VQH1Epw6W4bGb0CDUFILKIIVpEOWeAVFX0ajC1VwsPybzk-qfzfKXsAKdgoo-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUkBuESV27ehLLHnx-Fp-0g---/ECRYPTFS_FNEK_ENCRYPT
ED.FXbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUmfsZ.KVWkrkespZCEHR4oIJ9YcrgmbtaNvjXZwAH7Mc-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUSX0bm0zlps.zihi2CLBRSE--
/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUt8o3AQBt3NJIdg.tZc-1bk--/ECRYPTFS_FNEK_ENCRYPTED.FXbdehxsbJLcmkR-Fst
VQH1Epw6W4bGb0CDUFILKIIVpEOWeAVFX0ajC1VwsPybzk-qfzfKXsAKdgoo-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUkBuESV27ehLLHnx-Fp-0g---/ECRYPTFS_FNEK_ENCRYPT
ED.FXbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUmfsZ.KVWkrkespZCEHR4oIJ9YcrgmbtaNvjXZwAH7Mc-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUSX0bm0zlps.zihi2CLBRSE--
/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUFgh1EGfqdMAjX0ltBCP5Nk--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUt8o3AQBt3NJIdg.tZc-1bk--/ECRYPTFS_FNEK_ENCRYPTED.FXbdehxsbJLcmkR-Fst
VQH1Epw6W4bGb0CDUFILKIIVpEOWeAVFX0ajC1VwsPybzk-qfzfKXsAKdgoo-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUkBuESV27ehLLHnx-Fp-0g---/ECRYPTFS_FNEK_ENCRYPT
ED.FXbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUmfsZ.KVWkrkespZCEHR4oIJ9YcrgmbtaNvjXZwAH7Mc-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUSX0bm0zlps.zihi2CLBRSE--
/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUHveQt70z.ye6cSuc34boOU--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUt8o3AQBt3NJIdg.tZc-1bk--/ECRYPTFS_FNEK_ENCRYPTED.FXbdehxsbJLcmkR-Fst
VQH1Epw6W4bGb0CDUFILKIIVpEOWeAVFX0ajC1VwsPybzk-qfzfKXsAKdgoo-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUkBuESV27ehLLHnx-Fp-0g---/ECRYPTFS_FNEK_ENCRYPT
ED.FXbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUmfsZ.KVWkrkespZCEHR4oIJ9YcrgmbtaNvjXZwAH7Mc-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUSX0bm0zlps.zihi2CLBRSE--
/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUMT0XWtXZs41nDd2uU7-mIE--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUt8o3AQBt3NJIdg.tZc-1bk--/ECRYPTFS_FNEK_ENCRYPTED.FXbdehxsbJLcmkR-Fst
VQH1Epw6W4bGb0CDUFILKIIVpEOWeAVFX0ajC1VwsPybzk-qfzfKXsAKdgoo-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUkBuESV27ehLLHnx-Fp-0g---/ECRYPTFS_FNEK_ENCRYPT
ED.FXbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUmfsZ.KVWkrkespZCEHR4oIJ9YcrgmbtaNvjXZwAH7Mc-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUtm7UiNmwajtTVlrpHzCK8U--
/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUt8o3AQBt3NJIdg.tZc-1bk--/ECRYPTFS_FNEK_ENCRYPTED.FXbdehxsbJLcmkR-Fst
VQH1Epw6W4bGb0CDUFILKIIVpEOWeAVFX0ajC1VwsPybzk-qfzfKXsAKdgoo-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUkBuESV27ehLLHnx-Fp-0g---/ECRYPTFS_FNEK_ENCRYPT
ED.FXbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUmfsZ.KVWkrkespZCEHR4oIJ9YcrgmbtaNvjXZwAH7Mc-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUtm7UiNmwajtTVlrpHzCK8U--
/ECRYPTFS_FNEK_ENCRYPTED.FXbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUeMpxwGUDlUtKxYTzVV0QIrQsrv8.2u.NBLB-oviJ24g-/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUUATe.eyN6BD8x.dBYufpNU--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUUATe.eyN6BD8x.dBYufpNU--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUv10-pCsfRfs11BDDPgFBb---/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUws8x-isQcAVqN9OOdk.NkU--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUws8x-isQcAVqN9OOdk.NkU--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUIegmZAMsBnPis.yt5RmaI---/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUeNvQRC6tka8C5BD96E3s3E--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUdkoMjvmQer-hedLEB1rnzk--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUws8x-isQcAVqN9OOdk.NkU--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUNAT2dGpG6T2G7xvG6scU1---/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUZ3V5zUlMYQN5.X6PEhmqZ---/ECRYPTFS_FNEK_ENCRYPTED.FXbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUh50gGvJbomyUf33M8PpGu8wcR-UKBWi1PX2D9ektBKo-/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUPQbeWXpCszYG9QZ.3W7EEk--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUws8x-isQcAVqN9OOdk.NkU--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUOfWqNB5oAxquULT4VgH9OE--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUx9Wkk6mkK2i5W7mzKGsf8U--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDU04bxoF.X9f0RCLkA9JGcKE--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUx9Wkk6mkK2i5W7mzKGsf8U--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUnmLhdsyo2MsbVPTWWfQlYE--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUxtuLpe17b5YAheIKdo40r---/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUxtuLpe17b5YAheIKdo40r---/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUhVCcKf98lAh7.mUScVQcj---/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUxtuLpe17b5YAheIKdo40r---/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUKC-NbsykTvAWyygJ52dwrk--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUxtuLpe17b5YAheIKdo40r---/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUsWjzyqSNbgVTViVtBfBzbk--/\* 0-0xFFFF
allow_create /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUZzVBxRsH4COUd4eKMZyAE---/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUBHMYj4k8-MjSXyp2vc8kr---/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUAGXFI.3WugRL1XB-cEG.EU--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUNE4mdPXzfmEw56.h3nx-3U--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUEKjSuuQbF5mtZP4aBjvouE--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUOBu-FgtQWlGU1JnlAqBlMU--/\* 0-0xFFFF
Hogy csak párat említsek... Így gyorsan használhatatlan méretűre duzzadhat a policy file...
- A hozzászóláshoz be kell jelentkezni
Akkor egyelőre tedd be a [recursive] tag alá csak a .Private mappát, aztán csinálok magamnak is egy encrypted home-ot tesztelésre.
- A hozzászóláshoz be kell jelentkezni
priv-ben küldtem levelet csak a crypt-es mintákkal...
- A hozzászóláshoz be kell jelentkezni
köszi.
- A hozzászóláshoz be kell jelentkezni
Most letesztelem én is titkosított home-mal.
- A hozzászóláshoz be kell jelentkezni
Még rengeteg ilyen sor van:
allow_unlink /home/\*/szimszon/.Private/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUlwsGYKY7edEzeLhphzbHGk--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUPxOqjzGqt6toutIg8RN.3U--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUMN0Y3xsLLtAUoXI4ZGPsmE--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUjWhqXTmpWP6ErYUTS-F7Wk--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUikUphceY-kg5IM4dzOvyfE--/ECRYPTFS_FNEK_ENCRYPTED.FWbdehxsbJLcmkR-FstVQH1Epw6W4bGb0CDUMdwhrJuGQtzNcVNOF.vLbE--/\*
egyenlőre hagyom.
- A hozzászóláshoz be kell jelentkezni
Ez is normális, ahogy gyűlik, egyre nagyobb lesz az esély az illeszkedésre.
5 egymás utáni hasonló szabályt egyből cserél wildcard-ra.
- A hozzászóláshoz be kell jelentkezni
Nagy mennyiségben kerültek elő
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/0/\*/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/0A/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/0C/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/1C/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/22/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/23/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/26/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/2D/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/30/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/31/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/32/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/3A/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/3B/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/46/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/4A/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/4D/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/5C/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/5D/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/75/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/76/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/85/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/87/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/92/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/A1/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/A7/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/BD/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/BE/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/C4/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/D0/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/E7/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/EA/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/F8/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/FD/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/06/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/09/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/21/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/27/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/2D/\* 0-0xFFFF
bejegyzések a domain_policy-be... :(
- A hozzászóláshoz be kell jelentkezni
Ez még mindig jó, mert ennél:
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/22/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/23/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/1/26/\* 0-0xFFFF
meg ennél
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/06/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/09/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/21/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/27/\* 0-0xFFFF
is látszik, hogy ha még bejön még egy olyan mappa, amelynél a Cache/2/XX egy szám lesz (csak numerikus), akkor az 5 hasonló miatt ilyenné fog válni:
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/\*/\* 0-0xFFFF
és ha ezekből is össze gyűlik 5:
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/2/\*/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/3/\*/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/4/\*/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/5/\*/\* 0-0xFFFF
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/6/\*/\* 0-0xFFFF
akkor ilyen lesz:
allow_create /home/\*/.mozilla/firefox/pnx7j5yh.ff4/Cache.Trash/Trash/Cache/\*/\*/\* 0-0xFFFF
és akkor kiveszi az összesset, amely illeszkedik. Nézd meg pár nap múlva.
- A hozzászóláshoz be kell jelentkezni
Uh, kicsit elkapkodtam. Mert már csináltam egy recursive rule-t rá, de jó hogy elmondtad, hogy így működik. :)
- A hozzászóláshoz be kell jelentkezni
Nem gond, ezt már teszteltem alaposan és működik. Ha sokat használja az ember a böngészőt, akkor órák alatt vagy még kevesebb kitisztulnak a szabályok.
Most a titkosított /home-on dolgozok, azt akarom lekezeltetni teljesen automatikusan.
- A hozzászóláshoz be kell jelentkezni
szuper
- A hozzászóláshoz be kell jelentkezni
Tegnap ubi repóból frissült a thunderbird 5-ről 6-ra, majd ez jelent meg a tomld logban:
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode (restart needed)
* access deny log messages at Tue Aug 16 23:31:28 2011
/usr/bin/python2.7 allow_ioctl /dev/pts/6 0x5401 add rules? (n)
/usr/bin/python2.7 allow_read /usr/lib/python2.7/compileall.py add rules? (n)
/usr/bin/python2.7 allow_read /usr/lib/python2.7/runpy.py add rules? (n)
/usr/bin/python2.7 allow_read /usr/lib/python2.7/runpy.pyc add rules? (n)
* user request for temporary learning mode (max 1 hour) at Tue Aug 16 23:31:41 2011
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode (restart needed)
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode (restart needed)
* access deny log messages at Tue Aug 16 23:32:12 2011
/usr/bin/python2.7 allow_read /usr/lib/python2.7/runpy.py add rules? (y)
/usr/bin/python2.7 allow_read /usr/lib/python2.7/runpy.pyc add rules? (y)
/usr/bin/python2.7, switch to learning mode
* switch domains with new rules to learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode (restart needed)
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode (restart needed)
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-6.0/thunderbird-bin, no domain, create domain with learning mode (restart needed)
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/firefox-5.0/firefox-bin, changed 11 minutes ago, 1% complete
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/firefox-5.0/firefox-bin, changed 17 minutes ago, 2% complete
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
/usr/lib/thunderbird-5.0/thunderbird-bin (deleted), no domain, create domain with learning mode
* switch temporary domains back to enforcing mode
/usr/bin/python2.7, switch to enforcing mode
84 active domains, 8188 rules
cycle times min/avg/max 0.84/1.67/12.17 sec
used cpu 6.27 %, vm peak 7.6 MB, rss peak 5.4 MB
ended at Tue Aug 16 23:55:00 2011
Itt este lekapcsoltam a gépet...
started at Wed Aug 17 08:57:03 2011
tomld (tomoyo learning daemon) 0.40
Linux version 2.6.38-10-generic-pae (buildd@vernadsky) (gcc version 4.5.2 (Ubuntu/Linaro 4.5.2-8ubuntu4) ) #46-Ubuntu SMP Tue Jun 28 16:54:49 UTC 2011
* mail requested but binary /usr/sbin/sendmail missing
* exception domains
/bin/bash /bin/dash /bin/rbash /bin/sh /sbin/init /usr/bin/screen /usr/sbin/sshd /usr/sbin/tomld /usr/sbin/tomoyo-loadpolicy
* new processes using network
/usr/sbin/cupsd
/usr/sbin/avahi-daemon
/sbin/dhclient
* already existing main domains
avahi-daemon cupsd dhclient
* checking policy and rules
/home/szimszon/prg/eclipse/eclipse, domain exists, learning mode on
/sbin/dhclient, domain exists, learning mode on
/usr/bin/gnome-open, domain exists, learning mode on
/usr/bin/gpg, domain exists, learning mode on
/usr/bin/host, domain exists, learning mode on
/usr/bin/pidgin, domain exists, learning mode on
/usr/bin/python2.7, domain exists, enforcing mode on
/usr/bin/qlandkartegt, domain exists, learning mode on
/usr/bin/rdesktop, domain exists, learning mode on
/usr/bin/skype, domain exists, learning mode on
/usr/bin/ssh, domain exists, learning mode on
/usr/bin/transmission-gtk, domain exists, learning mode on
/usr/lib/apt/methods/http, domain exists, learning mode on
/usr/lib/firefox-5.0/firefox-bin, domain exists, learning mode on
/usr/lib/gvfs/gvfsd-http, domain exists, learning mode on
/usr/lib/jvm/java-6-sun-1.6.0.26/jre/bin/java, domain exists, learning mode on
/usr/lib/thunderbird-5.0/thunderbird-bin, domain exists, learning mode on
/usr/lib/thunderbird-6.0/thunderbird-bin, domain exists, learning mode on
/usr/sbin/avahi-daemon, domain exists, learning mode on
/usr/sbin/cupsd, domain exists, learning mode on
/usr/sbin/ntpdate, domain exists, learning mode on
* first whole running cycle took 8.67s
(press q to quit)
/usr/lib/firefox-5.0/firefox-bin, changed 32 seconds ago, 0% complete
itt már nincs thunderbird-5.0 (deleted) szemetelés a logban. Lehet érdemes lenne timestampet nyomni minden log sor elejére...
- A hozzászóláshoz be kell jelentkezni
Most ugyanaz a helyzet a firefox-szal:
/usr/lib/firefox-5.0/firefox-bin (deleted), no domain, create domain with learning mode
* access deny log messages at Wed Aug 17 09:11:12 2011
/usr/bin/python2.7 allow_ioctl /dev/pts/5 0x5401 add rules? (n)
/usr/bin/python2.7 allow_read /lib/i386-linux-gnu/libnss_compat-2.13.so add rules? (n)
/usr/lib/firefox-5.0/firefox-bin (deleted), no domain, create domain with learning mode
- A hozzászóláshoz be kell jelentkezni
Utánanézek..
- A hozzászóláshoz be kell jelentkezni
Javítottam és feltöltöttem a frissítést.
Sajnos legutóbb, amikor optimalizáltam és újraírtam a domain betöltő rutinomat, akkor kihagytam a (deleted) taggal megjelölt törölt domain-ek kezelését.
Ezt most nem tudom reprodukálni és megfelelően tesztelni most, de remélem ez megoldja nálad és jó a fix.
- A hozzászóláshoz be kell jelentkezni
Úgy tűnik még nem jó :(
Bele tudod tenni, hogy minden log sor elején legyen egy timestamp?
- A hozzászóláshoz be kell jelentkezni
És jól jönne egy build szám induláskor... hogy ne csak a 0.40 legyen ott. Akár egy timestamp amikor csomagoltad stb... köszi
- A hozzászóláshoz be kell jelentkezni
ezt is megcsinálom. már én is gondoltam rá.
- A hozzászóláshoz be kell jelentkezni
adok dátumot a log-hoz. reboot után sem tűnnek el a (deleted) jelzésű domain-ek?
- A hozzászóláshoz be kell jelentkezni
reboot után most nincsenek...
- A hozzászóláshoz be kell jelentkezni
Rendben. Ehhez kell a reboot, mert a (deleted) domain-ek benne maradnak a kernel memóriában.
Beletettem a build dátumot, így a -v kapcsolóval már látszik. Illetve minden deny log végére kiírja már a dátumot, ha automatikus módban fut tomld.
Frissítve megint.
Kösz.
- A hozzászóláshoz be kell jelentkezni
Titkosított fájlrendszeren való használat is megoldva. Javított verziót feltöltöttem.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Visszajelzés (deleted) jelzővel ellátott domain-ekkel kapcsolatban, melyeket létrehozott tomld automatikusan.
Javítva 0.50 verzióban.
- A hozzászóláshoz be kell jelentkezni
v0.51 néhány javítással.
- A hozzászóláshoz be kell jelentkezni
Elkezdtem beállítani a 0.51-es verziót Slackware/Salix alatt. Eddig két módosítási javaslatom lenne.
1. A security=tomoyo kernel paraméterre keresel a /proc/cmdline fájlban és ha az nem szerepel ott, akkor a tomld hibával lép ki. Ugyanakkor a kézzel forgatott kernelben én beállítottam a CONFIG_DEFAULT_SECURITY="tomoyo" opciót, ami alapértelmezetté teszi a TOMOYO-t, ezáltal nincs szükség a fenti kernel paraméterre, viszont a tomld mégis hibával áll le, mivel a konkrét paraméterre keres rá. Meg tudnád oldani egyéb módon a TOMOYO támogatás ellenőrzését?
A TOMOYO honlapján pl. a "grep tomoyo_supervisor /proc/kallsyms" paranccsal ellenőrzik le, hogy bele van-e forgatva a kernelbe, de talán a /sys/kernel/security/tomoyo-n keresztül is lehetne.
2. Ha a kernelben le van tiltva az IPv6 támogatás, akkor a tomld nem indul el.
Workaroundként az alábbit módosítottam a tomld.c-ben:
-char *netf[] = {"/proc/net/tcp", "/proc/net/tcp6", "/proc/net/udp", "/proc/net/udp6", 0};
+char *netf[] = {"/proc/net/tcp", "/proc/net/udp", 0};
Jó lenne valami olyan megoldás, hogy ahol a fenti tcp6, illetve udp6 fájl nem szerepel, mert a CONFIG_IPV6 nincs engedélyezve a kernelben, ott is elinduljon a tomld.
Az e-mail címedre, ha érdekel elküldöm a Slackware/Salix csomag készítéséhez szükséges dolgokat.
- A hozzászóláshoz be kell jelentkezni
1) 2.6.36-tól felfelé van a /proc/kallsysms ellenőrzési lehetőség arra, hogy a támogatás bele van-e forgatva - ezzel élek is. Viszont ha alapból engedélyezve van fordítási időben, és így nem jelenik meg a cmdline-ban, akkor tényleg más ellenőrzés után kell néznem. Dolgozni fogok rajt. Valószínű úgy lesz ahogy mondod, vagyis hogy megnézem, tudom-e cstaolni a /sys/kernel/security/tomoyo fs-t, ha nem, akkor --> fail. Ez így van most is, tehát akkor valszeg az lesz, hogy kihagyom a cmdline-os ellenőrzést, és a mount hibaüzenetet szabom át megfelelőre.
2) Tényleg nem ellenőrzöm a /proc/net-en belül a tcp6, udp6 meg egyéb meglétét, csak egyből olvasom. Ezt is ki fogom javítani egyszerűen.
A Slackware csomag érdekelne mindenképpen, csak tesztelni nem fogom tudni, de örülök ha adsz leírást. Ez csak egy konfig fájlt jelentene, amiből generálható a csomag? Ha igen, akkor szívesen betenném a debian és ubuntu konfigok mellé a git-re is. Ha te csomagot csinálsz belőle és így látod hogy működik, az nekem elegendő.
Köszi.
- A hozzászóláshoz be kell jelentkezni
Gyorsba ki is javítottam, a PPA-n kívül elérhető az új 0.55 verzió a github-on és az oldalamon is.
Megnéznéd, hogy rendben működik-e a 0.55-el a rendszereden, így ipv6 kikapcsolással és cmdline ellenőrzés nélkül?
- A hozzászóláshoz be kell jelentkezni
Köszönöm, jó lett. Igen csak egy script, legkésőbb holnap küldök is pár patchet.
- A hozzászóláshoz be kell jelentkezni
Desktopon próbáltam Kde4-el. Nem az igazi.
Ahogy a domainek kényszerítő módba lépnek, úgy jönnek a meglepik, mindenekelőtt a ki- és bejelentkezés problémás, ma ismét kicsukott a gépemből, ismét reseteltem. Aztán le is állítottam.
Valamikor tegnap tette kényszerítő módba a dbus-t, ma bekapcsoltam a gépet, és nem tudtam bejelentkezni kde-re, és az X sem indult startx-el. Hasonló volt már a múlt héten is, akkor nem engedett írni a /home-ba, a kde nem indult el (azt nem sorolom ide, hogy alapból nem engedte elindulni a kde-t, azt meg kellett neki tanítani. Mint az újraindítást, a leállítást, stb.). Megesett, hogy pár órára lezártam a képernyőt, bejelentkezés után minden fájlművelet tiltott volt, és az összes bash parancs a terminálon. Még az olyanok is, mint pl. az apropos - erre az volt a gyógyszer, hogy tanuló szakaszban, ha hosszabb időre itt hagytam, leállítottam a tomld-t.
------------------------
- A hozzászóláshoz be kell jelentkezni
Ha valamikor mégis tesztelnéd még, kérlek mindig nézd meg a legújabb verziót. Sajna ma is találtam egy nagyobb hibát, és javítottam is.
Átmeneti tanuló mód kérése megoldotta a felmerülő problémákat? Vagy túl sok probléma volt?
Én is arra tippelnék, hogy túl korán túl sok domain kapcsolódott át kikényszerítő módba.
- A hozzászóláshoz be kell jelentkezni
Most a 0.57 van fenn.
Nem oldotta meg. Konzolról bejelentkezve nyomtam neki tanuló módot, megvártam, míg visszatér, de végül reseteltem.
Ha jól emlékszem, tegnap valamivel több, mint 1100 domain, és kicsit több, mint 30000 rules volt. Ez lehet, hogy sok. Pedig semmi extra, sima desktop kde4-el. Elég sokat kell rá várni.
Felteszem az újat.
------------------------
- A hozzászóláshoz be kell jelentkezni
Ez a mennyiség iszonyat sok. Ezt nem fogja tudni lekezelni. Nálam desktop-on 50 - 100 domain szokott lenni maximum, igaz inkább VM-ben, és csak teszt jellegnél. De a szabály is sok.
Ha a mostanival (0.60) teljesen újra kezdenéd (--clear), akkor közben nézegesd az --info kimenetet. Ott kiprintel egy listát azokról a mappákról, amelyekből a legtöbb bejegyzés van. Ha olyan a top 4-5 (nem /usr/lib meg hasonló fontos) és százalékban is sokat tesz ki, akkor betehetnéd némelyiket a tomld.conf-ba a [recursive] tag alá.
Ha azt tapasztalnád, hogy sok domain túl hamar kapcsol át kikényszerítő módba, akkor ráállnék most ennek a tovább finomítására visszajelzéstől függően.
Megjegyzem, tudsz kivételeket is hozzáadni a [nodomain] taggal a tomld.conf-ban - ha másnem azért, mert túl sok domain keletkezik és némely hanyagolható. Ugye alapból a hálózati socket-et nyitó folyamatoknak hoz létre domain-t.
Későbbre tervezem a teljes kód optimalizációját, erre is van már kész megoldás a fejemben, csak nagy munka. A mostani szerintem olyan 10-15 ezer szabályt tudna normál módon lekezelni maximum egy erősebb géppel. Sajnos már nagyon komplex a szükséges műveletsor.
Ha működni látszik és nem tartalmaz számodra nem publikus infót és részedről is ok, akkor ha privátban elküldenéd a legutolsó bekezdését a tomld.log-nak meg egy --info kimenetet, az segíthet nekem.
- A hozzászóláshoz be kell jelentkezni
Még egy dolog:
"..bejelentkezés után minden fájlművelet tiltott volt, és az összes bash parancs a terminálon.."
Manuálisan nem állítottál be olyan domain-t, amit nem kellett volna? Tehát shell-t pl. nem jó ötlet megadni hogy létrehozzon hozzá domain-t, mert ezeknél nyilván gond lehet bármilyen korlátozás.
Ha egy domain (elég sok) használ shell-t más parancs futtatásához, akkor minden meghívott executable egy aldomain-je lesz neki, tehát nem zavar be globálisan. Szóval van sok bash bejegyzés nálam is, de mindig egy fő domain alatt. Amit kézzel megadsz, ott fő domain is létrejön, ha nem kivétel alapból.
Meg még annyi, hogy ha a tomld.conf-ban kiveszed a # jeleket és beírsz egy [tag] alá valamit, akkor az alapértlemezetten ott lévő bejegyzéseit is hagyd benn, és azok alá írd a tiéd.
- A hozzászóláshoz be kell jelentkezni
Nem, nem állítottam be semmit, úgy voltam vele, hogy majd megtanulja. Kb. 4-5 órára le volt zárva a képernyő, és ez alatt az idő alatt "beszigorított". Ez kétszer fordult elő. Utána ha magára hagytam, akkor leállítottam.
A tomld.conf-ban csak új sort kezdtem, nem töröltem semmit.
Elküldöm a fájlokat, bár az infoban még nem sok minden van.
------------------------
- A hozzászóláshoz be kell jelentkezni
Tovább fejlesztettem egy részt a domain-ek túl korán kikényszerítő módba való kapcsolásának kiküszöböléséhez: 0.62. Ha tudod, kérlek frissítsd.
(Ubuntu PPA is kész).
- A hozzászóláshoz be kell jelentkezni
Frissítettem.
Ilyenkor kell neki újraindítás? Mármint a gép újraindítása?
Fél kettőkor kapcsoltam be a gépet: 435 domainnél és 13500 szabálynál tart.
------------------------
- A hozzászóláshoz be kell jelentkezni
Nem kell gép újraindítás, csak a tomld újraindítása. Ha csomagból teszed fel, akkor ez megtörténik.
Meg azt elfelejtettem mondani, hogy most nekiállíthatnád megint újra generálni az egészet a fenti változtatásom miatt (service tomd stop; tomld --clear; service tomld start). Így több ideje lesz azoknak a domain-eknek is, amelyek a sok CPU használatuk miatt gyorsan átkapcsolódtak kikényszerítő módba.
- A hozzászóláshoz be kell jelentkezni
Megtörtént.
Eddig az mindenképpen pozitív, hogy nem zabálja annyira a processzort.
------------------------
- A hozzászóláshoz be kell jelentkezni