from-****@i-lov*****
from-****@i-lov*****
2009年 8月 20日 (木) 12:01:32 JST
TOMOYO
Fork 熊猫です。
Hiroshi Shinji さんは書きました:
> > 0-MAC::capability::SYS_CHMOD=disabled
> > 0-MAC::capability::SYS_CHOWN=disabled
> > 0-MAC::capability::SYS_CHROOT=disabled
> <中略>
> > 0-MAC::capability::use_kernel_module=disabled
> > 0-MAC::capability::use_packet=disabled
> > 0-MAC::capability::use_route=disabled
>
> これらcapabilityについて、まとめられませんか?
> たとえば、
>
> 0-MAC::capability=disabled
>
> などとしてcapability関連すべて同じ設定にし、必要があればその後
>
> 0-MAC::capability::SYS_KILL=learning
>
> などと上書きできればありがたいです。
纏めることは可能ですが、そうするとケイパビリティを追加するのが難しくなります。
1.6.5 → 1.6.7 の時、 MAC_FOR_FILE に ioctl を追加すると ioctl の追加前に
作成された domain_policy で MAC_FOR_FILE=enforcing にすると ioctl でエラーに
なるため、 MAC_FOR_IOCTL として追加したという出来事と同じことが今後 1.7 でも
起こります。 MAC_FOR_FILE を execute open mkdir などに分割したのは、 1.7 の間に
ファイルに対するアクセス制御機能が追加された場合に対応できるようにするため
という理由もあります。
ですから、 3-MAC::capability=enforcing というデフォルト指定が行われた場合に
どのケイパビリティを enforcing にするかを判断できるようにする方法が必要です。
例えば「プロファイル番号-項目=値」という設定以外に
「 PROFILE_VERSION=20090903 」みたいな形で指定するとか。
あるいは、「 SUPPORTED_CAPABILITIES={ ケイパビリティのリスト } 」みたいな形で
指定するとか。