2006年07月08日
せっかくだからTOMOYO Linux II
つづき。うーん、FC3確かにudev使うので、これでいいはず……なんだg
#!/bin/sh
mount -n -t shaoran -o accept=/mount/security/shaoran.conf none /dev'
exec /sbin/init "$@"
本当にすいませんでした
……そしてこれを修正すると、dmesgにはこんなメッセージが表示され、
SYAORAN: Can't open '/mount/security/syaoran.conf'
あー。
/root/security/syaoran.confを/mount/security/syaoran.confにコピーして再起動。
/dev/.syaoranに、syaoran.confと同じ形式のファイルが出来たので、これで成功かな。
dmesgにも幾つかログが残るようになったし。
そうすると、
以下のコマンドを実行して、学習結果を /root/security/syaoran.conf に反映します。
cat /dev/.syaoran > /root/security/syaoran.conf
という部分も/mount/security/syaoran.confに読み替える必要があるかなぁ。
と思って/mount/security/syaoran.confに読み替えて上書き。再起動。よし。
……いやいやいや。
ドキュメントを今、見直してみるとちゃんと
echo '#! /bin/sh' > /.syaoran
echo 'mount -n -t syaoran -o accept=/root/security/syaoran.conf none /dev' >> /.syaoran
echo 'exec /sbin/init "$@"' >> /.syaoran
chmod 700 /.syaoran
ってなっていますね。
スクリプト/.syaoranを修正して、次へ。
ふーう。酔っぱらったまんま書くもんじゃないな……<何
投稿者 kagerou : 2006年07月08日 21:13
トラックバック
このエントリーのトラックバックURL:
http://scriptlife.hacca.jp/cgi-bin/MT/mt-tb.cgi/424
コメント
こんばんは。
今度はデバイスファイルを作成できない旨の udev のメッセージが
大量に発生するかもしれませんが、システムの動作に支障が無ければ
無視してしまって大丈夫です。
学習結果を syaoran.conf にフィードバックさせるのは
使われないエントリを除去することで消費メモリを節約するためですので、
必要なエントリを削除してしまうことが心配であれば
makesyaoranconf で生成した初期状態のエントリのまま利用しても構いません。
ちなみに、 SYAORAN は TOMOYO Linux カーネル以外でも使えるように、
単独でコンパイルできるようになっています。
投稿者 熊猫 : 2006年07月08日 23:51
こんばんわです。
とりあえずudevでメッセージに吐かれているのは、
Jul 8 22:18:22 localhost kernel: audit(1152364669.392:21): avc: denied { asso
ciate } for pid=2058 comm="udev" name="timer" scontext=system_u:object_r:sound_
device_t tcontext=system_u:object_r:unlabeled_t tclass=filesystem
みたいなものなのですが、エラーという感じではないから様子見ています。
使っているデバイスもSCSIとIDEくらいなものなので、
まぁ問題が起こりそうな環境ではないかなぁ。
> ちなみに、 SYAORAN は TOMOYO Linux カーネル以外でも使えるように、
仕組みとしては、/devにマウントすることで、デバイスとのやりとりをする部分にワンクッション、て感じでしょうか?
(でも、実装がどうなっているのかは分からない……<何)
投稿者 かげろ : 2006年07月09日 01:55
こんにちは。
avc: のメッセージは SELinux によるものですので
SELinux と併用するのでなければ放置して大丈夫です。
(TOMOYO Linux のバイナリカーネルパッケージでは
デフォルト設定をベースにしているので SELinux が
有効になっています。)
SYAORAN の実装は tmpfs とほとんど同じです。
ファイル名とそのファイルの属性の対応付けを強制させることで
例えば /dev/null が c 1 3 であることを保証しているだけです。
投稿者 熊猫 : 2006年07月09日 13:34
なるほど。前のカーネルではSELinuxは無効にしていたので、
見覚えのないメッセージだったのか。
確か、何か困ったことがあって無効にしたはずなんですが……まあ、それも含めて様子見か。
tmpfsとかは、よく分かってないから時間があれば一寸調べてみます。
ふぅぅ。知らないことが多すぎる。
投稿者 かげろ : 2006年07月10日 22:08