Hiroshi Shinji
hiros****@gmail*****
2009年 8月 20日 (木) 11:15:14 JST
宍道です。 > 0-MAC::capability::SYS_CHMOD=disabled > 0-MAC::capability::SYS_CHOWN=disabled > 0-MAC::capability::SYS_CHROOT=disabled <中略> > 0-MAC::capability::use_kernel_module=disabled > 0-MAC::capability::use_packet=disabled > 0-MAC::capability::use_route=disabled これらcapabilityについて、まとめられませんか? たとえば、 0-MAC::capability=disabled などとしてcapability関連すべて同じ設定にし、必要があればその後 0-MAC::capability::SYS_KILL=learning などと上書きできればありがたいです。 > ところで、ケイパビリティの名前ですが、 > SYS_PIVOT_ROOT とか SYS_PTRACE のようなシステムコールの名前よりも > swap-root-directory とか trace-process のような説明的な名前にしたほうが > (システムコールの名前を知らないユーザにとって)親切なのではないかと思いました。 > (システムコールの名前を知っているユーザにとっては不便になるかもしれませんが) > 以下のような感じで置換したほうが良いでしょうか? どちらでもいいですが... (どちらかというと、私は変えなくても良いかな、と思っております...) 2009/08/19 21:06 に Tetsuo Handa<from-****@i-lov*****> さんは書きました: > 熊猫です。 > > Hiroshi Shinji さんは書きました: >> 個人的には、選択肢2が良いかと思います。 > revision 2925 では選択肢2の状態です。 > 以下のような指定になります。 > > 0-AUTOLEARN_EXEC_ARGV0=enabled > 0-AUTOLEARN_EXEC_REALPATH=enabled > 0-COMMENT=-----Disabled Mode----- > 0-MAC::capability::SYS_CHMOD=disabled > 0-MAC::capability::SYS_CHOWN=disabled > 0-MAC::capability::SYS_CHROOT=disabled > 0-MAC::capability::SYS_IOCTL=disabled > 0-MAC::capability::SYS_KEXEC_LOAD=disabled > 0-MAC::capability::SYS_KILL=disabled > 0-MAC::capability::SYS_LINK=disabled > 0-MAC::capability::SYS_MOUNT=disabled > 0-MAC::capability::SYS_NICE=disabled > 0-MAC::capability::SYS_PIVOT_ROOT=disabled > 0-MAC::capability::SYS_PTRACE=disabled > 0-MAC::capability::SYS_REBOOT=disabled > 0-MAC::capability::SYS_RENAME=disabled > 0-MAC::capability::SYS_SETHOSTNAME=disabled > 0-MAC::capability::SYS_SYMLINK=disabled > 0-MAC::capability::SYS_TIME=disabled > 0-MAC::capability::SYS_UMOUNT=disabled > 0-MAC::capability::SYS_UNLINK=disabled > 0-MAC::capability::SYS_VHANGUP=disabled > 0-MAC::capability::conceal_mount=disabled > 0-MAC::capability::create_block_dev=disabled > 0-MAC::capability::create_char_dev=disabled > 0-MAC::capability::create_fifo=disabled > 0-MAC::capability::create_unix_socket=disabled > 0-MAC::capability::inet_tcp_connect=disabled > 0-MAC::capability::inet_tcp_create=disabled > 0-MAC::capability::inet_tcp_listen=disabled > 0-MAC::capability::use_inet_ip=disabled > 0-MAC::capability::use_inet_udp=disabled > 0-MAC::capability::use_kernel_module=disabled > 0-MAC::capability::use_packet=disabled > 0-MAC::capability::use_route=disabled > 0-MAC::chgrp=disabled > 0-MAC::chmod=disabled > 0-MAC::chown=disabled > 0-MAC::chroot=disabled > 0-MAC::create=disabled > 0-MAC::env=disabled no_grant_log no_reject_log > 0-MAC::execute=learning no_reject_log > 0-MAC::ioctl=disabled > 0-MAC::link=disabled > 0-MAC::mkblock=disabled > 0-MAC::mkchar=disabled > 0-MAC::mkdir=disabled > 0-MAC::mkfifo=disabled > 0-MAC::mksock=disabled > 0-MAC::mount=disabled > 0-MAC::network=disabled > 0-MAC::open=learning no_grant_log > 0-MAC::pivot_root=disabled > 0-MAC::rename=disabled > 0-MAC::rewrite=disabled > 0-MAC::rmdir=disabled > 0-MAC::signal=disabled > 0-MAC::symlink=disabled > 0-MAC::truncate=disabled > 0-MAC::umount=disabled > 0-MAC::unlink=disabled > 0-MAX_ACCEPT_ENTRY=2048 > 0-MAX_GRANT_LOG=1024 > 0-MAX_REJECT_LOG=1024 > 0-PRINT_VIOLATION=enabled > 0-SLEEP_PERIOD=0 > > > > ところで、ケイパビリティの名前ですが、 > SYS_PIVOT_ROOT とか SYS_PTRACE のようなシステムコールの名前よりも > swap-root-directory とか trace-process のような説明的な名前にしたほうが > (システムコールの名前を知らないユーザにとって)親切なのではないかと思いました。 > (システムコールの名前を知っているユーザにとっては不便になるかもしれませんが) > 以下のような感じで置換したほうが良いでしょうか? > > sed -i > -e 's/inet_tcp_create/create-inet-tcp-socket/g' > -e 's/inet_tcp_listen/listen-inet-tcp-socket/g' > -e 's/inet_tcp_connect/connect-inet-tcp-socket/g' > -e 's/use_inet_udp/use-inet-udp-socket/g' > -e 's/use_inet_ip/use-inet-ip-socket/g' > -e 's/use_route/use-route-socket/g' > -e 's/use_packet/use-packet-socket/g' > -e 's/SYS_MOUNT/mount-filesystem/g' > -e 's/SYS_UMOUNT/unmount-filesystem/g' > -e 's/SYS_REBOOT/reboot-system/g' > -e 's/SYS_CHROOT/change-root-directory/g' > -e 's/SYS_KILL/kill-process/g' > -e 's/SYS_VHANGUP/simulate-hangup/g' > -e 's/SYS_TIME/change-time/g' > -e 's/SYS_NICE/change-priority/g' > -e 's/SYS_SETHOSTNAME/change-hostname/g' > -e 's/use_kernel_module/use-kernel-module/g' > -e 's/create_fifo/create-fifo/g' > -e 's/create_block_dev/create-block-device/g' > -e 's/create_char_dev/create-char-device/g' > -e 's/create_unix_socket/create-unix-socket/g' > -e 's/SYS_LINK/create-link/g' > -e 's/SYS_SYMLINK/create-symlink/g' > -e 's/SYS_RENAME/use-rename/g' > -e 's/SYS_UNLINK/use-unlink/g' > -e 's/SYS_CHMOD/use-chmod/g' > -e 's/SYS_CHOWN/use-chown/g' > -e 's/SYS_IOCTL/use-ioctl/g' > -e 's/SYS_KEXEC_LOAD/load-kernel/g' > -e 's/SYS_PIVOT_ROOT/swap-root-directory/g' > -e 's/SYS_PTRACE/trace-process/g' > -e 's/conceal_mount/overlap-mount/g' > > _______________________________________________ > tomoyo-dev mailing list > tomoy****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/tomoyo-dev > -- 宍道 洋 hiros****@gmail***** http://d.hatena.ne.jp/hshinji/
TOMOYO
Fork