Tetsuo Handa
from-****@I-lov*****
2011年 5月 8日 (日) 23:12:09 JST
現在 tomoyo-dev-en ML にて、ポリシーの名前空間対応について議論が進行中です。 http://sourceforge.jp/projects/tomoyo/lists/archive/dev-en/2011-May/thread.html TOMOYO のポリシーは現在のところ名前空間に対応していません。そのため、 LXC コンテナのように pivot_root() を使用する環境で TOMOYO を使う場合、 コンテナ環境の中で実行されたデーモンプログラムとコンテナ環境の外で実行された デーモンプログラムとを区別することができないため、管理者が望まない形のドメイン 遷移が発生してしまい、不便です。 pivot_root() により作成された環境はほとんど 独立した1台のマシンと考えることができるため、その環境を特別なものとして 扱うことが望まれます。そのため、 TOMOYO のポリシーに名前空間を導入することに ついて検討しています。 [tomoyo-dev-en 221] の時点での方向性は、 (1) ドメイン名に関して、従来の <kernel> というプレフィックスに加えて、 <$namespace> (例: <apache> )という形式のプレフィックスに対応し、 プレフィックスを名前空間の名前として利用する。 (2) 個々の名前空間は、名前空間を超えた干渉を防ぐために、独自の /proc/ccs/{domain_policy,exception_policy,profile} を持つ。 (3) 名前空間を指定するために、 /proc/ccs/{exception_policy,profile} の 各行の先頭に namespace <$namespace> というプレフィックスを指定する。 となっています。ご意見をお待ちしています。英語で参加されるかたは直接 tomoyo-dev-en へ、日本語で参加される方は tomoyo-dev へどうぞ。
TOMOYO
Fork