フォーラム: Open Discussion (スレッド #16481)

TOMOYO audit logs (2007-10-20 22:43 by 匿名 #32878)


# cat > /etc/init.d/ccs-auditd << EOF
#!/bin/sh
/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt
EOF
# chmod +x /etc/init.d/ccs-auditd

And create symbolic links to the script.

# update-rc.d ccs-auditd start 99 2 3 4 5 .
Adding system startup for /etc/init.d/ccs-auditd ...
/etc/rc2.d/S99ccs-auditd -> ../init.d/ccs-auditd
/etc/rc3.d/S99ccs-auditd -> ../init.d/ccs-auditd
/etc/rc4.d/S99ccs-auditd -> ../init.d/ccs-auditd
/etc/rc5.d/S99ccs-auditd -> ../init.d/ccs-auditd



it seems that start audit log from /sbin/ccs-init might be better than from init.d .
1. add a simple audit log config file /etc/ccs/log.conf:
timestamp=`date %F-%T`
permit_log=/var/log/tomoyo/permit_log$timestamp.txt
reject_log=/var/log/tomoyo/reject_log$timestamp.txt
2. in ccs-init start autit log:
. /etc/ccs/log.conf
if touch $permit_log && touch $reject_log; then /usr/lib/ccs/ccs-auditd $permit_log $reject_log fi
3. then start the selected policy
4. if a log file is ordinary file(not /dev/null, /dev/console,etc), and not protected by any deny_rewrite item, automatically add to current Exception policy
deny_rewrite /var/log/tomoyo/permit_log$timestamp.txt
deny_rewrite /var/log/tomoyo/reject_log$timestamp.txt


so that audit logs are complete and protected, and file name could be timestamped for each boot when needed.


メッセージ #32878 への返信×

Wiki文法は使えません
ログインしていません。投稿を区別するために投稿者のニックネームをつけてください(ニックネームの一意性は保証されません。全く別の人も同じ名前を利用することが可能ですので本人であることの特定には利用できません。本人であることを保証したい場合にはログインして投稿を行なってください)。 ログインする

RE: TOMOYO audit logs (2007-10-22 09:29 by kumaneko #32887)

Hello.

Thank you for your opinion.

Starting /usr/lib/ccs/ccs-auditd at /sbin/ccs-init would be possible
if /var/ partition is mounted read-write and /usr/ partition is mounted read-only,
but these partitions have to be mounted read-only at that moment
because fsck is called at /etc/rc.d/rc.sysinit .

TOMOYO can hold access logs up to MAX_GRANT_LOG and MAX_REJECT_LOG entries
in the kernel memory so that access logs won't be lost
when these partitions are not ready to write.
#32878 への返信

メッセージ #32887 への返信×

Wiki文法は使えません
ログインしていません。投稿を区別するために投稿者のニックネームをつけてください(ニックネームの一意性は保証されません。全く別の人も同じ名前を利用することが可能ですので本人であることの特定には利用できません。本人であることを保証したい場合にはログインして投稿を行なってください)。 ログインする