このページの使い方

質問は「新しい質問」の部分に記入下さい。回答をつけたものは「Q&A」に移動します(「新しい質問」は未回答質問一覧となります)。内容が増えてきたらカテゴリ毎に整理しようと思います。

新しい質問

質問はここのセクションにご記入下さい。

Q. 具体的なポリシーとして、例えば以下の設定は可能でしょうか。

....(長いので省略)

A.

本件については、TOMOYO Linux事例にて事例1(Case #1)として回答させていただきます。

Q&A

カテゴリー一覧

そもそも

Q. TOMOYO Linuxとはそもそも何ですか?

A. TOMOYO Linuxは、Linuxに対する強制アクセス制御(MAC)の実装で、使いこなせて安全なLinuxの実現を目指しています。TOMOYO Linux Version 1.0は株式会社NTTデータにより開発され、2005年11月11日にSourceForge.jpでGPLライセンスのオープンソースとして公開されました。

Q. TOMOYO Linuxの名前の意味は?

A. Task Oriented Management Obviates Your Onus on Linuxの略です。(それが何か? ;)

Q. 名前の由来は何でしょうか。

A. "Task Oriented Management Obviates Your Onus on Linux"の略で、これは「task構造体を活用した(管理者の)負担を軽減するLinux」という意味になります。ここで「task構造体」はTOMOYO Linuxの実装の根幹部分となっています。また、README.ccsにも書いてありますが、開発者がinspire(笑、でも本当なんです)された某作品も意識しています。より詳しくは、slashdotの板や"TOMOYO Linux"で検索下さい。某作品を知らなくても(読まなくても)TOMOYO Linuxは使えますが、某作品を知っていると何故TOMOYO Linuxなのかはよく理解いただけるはずですわ。

Q. TOMOYO Linuxはディストリビューションですか?

A. 違います。TOMOYO LinuxはLinuxカーネル(2.4/2.6)へのパッチとユーティリティ群です。

Q. さくらの専用サーバを使っているのですが、SE-LinuxよりもTOMOYO-Linuxの方がいいでしょうか。

A. それはそうじゃないでしょうか?(笑) 冗談はともかく、SELinuxで目的を果たせるのであればSELinuxを使えば良いと思います。TOMOYO LinuxとしてはSELinuxを否定するわけではありません。ただ、SELinuxに足りない部分を補えるのがTOMOYO Linuxだと思っています。

Q. 原田知世が先にあって、後から略語を捻り出したのが真相ではありませんか?(もしそうであったとしても私は今でもファンです)

A. プロジェクトマネージャの名字が原田なのでよくそのように聞かれることがあるのですが、原田知世さんの名前を意識して、ということはありません。ただ、私は原田知世さんのファンです。写真集を持っているわけでもなければコンサートに行ったこともありませんが、素敵な方だと思っています。TOMOYO Linuxのアクセス制御、自動学習はLinuxのタスク構造体を活用することにより実現されています。そしてその「学習」の仕方と"TOMOYO"という名称にはある関係があります。

インストール

Q. バイナリ版のインストールが失敗してしまうのですが・・・。

A. SELinuxが有効な場合、Permissiveモードであっても影響してしまう事象が報告されています。SELinuxを無効にした状態で試してみて下さい。それでも解決しない場合、このwikiでご連絡下さい。

Q. インストールしたいのですが、ダウンロードの仕方がわかりません。

A. TOMOYO LinuxはSourceForge?.jpのホスティングサービスを利用させていただいており、プロジェクトのホームページ、リリースファイル等もSourceForge?上にあります。ダウンロードのリンク先は、SourceForge.jpのTOMOYO Linuxプロジェクトページリリースファイル(files)よりダウンロードできます。tar ball、カーネルパッチ、ユーティリティから御利用されるバージョンを選択下さい。

Q. 使いたいファイルは見つけましたが、ダウンロードできません(泣)。

A. 該当するファイルをクリックすると、prdownloadというサーバに接続されますので、そこからお近くの(あるいはお好きな)ダウンロードサーバを選択下さい。

Q. 手順書ではダウンロードについてwgetというコマンドを使うとなっていますが?

A. wgetはコマンドラインからファイルをダウンロードすることが(することも)できるGNUのツールです。山ほどのオプションと使い方がありますが、それについては例えばこちらをご覧下さい。SourceForge?.jpのリリースファイルから(ブラウザ経由で)ダウンロードしても、wgetでダウンロードしてもデータとしては同一です。

Q. FC6のRaid1環境でXenの実験をしています。このような場合、TOMOYOは導入できますか?

A. TOMOYO Linux 自体は Xen 環境にも対応していますが、 2.6.22.14-72.fc6 カーネル用の SPEC ファイルでは Xen カーネルをコンパイルすることはできません。

Q. 使用しているディストリビューション対応のバイナリがないのですが?

A. その場合は、vanillaカーネル用のパッチをお使いのディストリビューション(カーネル)に適用下さい。ご連絡いただけば調査、検証等お手伝いできることもあります。

Q. 導入は難しいですか?

A. プロジェクトホームページでは、コンパイル済みバイナリの配布導入手順書を公開していますので、それを御利用いただけば簡単です。カーネルパッチを適用する場合についても手順を掲載しておりますので、カーネルビルドの経験がある方であれば特に難しい部分はありません。

トラブル

Q. ポリシーを設定していたら起動できなくなってしまいました。(どーしてくれる?)

A. セキュアOSでは設定によりそうした状況は起こり得ます。焦らず騒がず下記のガイドに従ってみてください。

TOMOYO Linux レスキュー手順

もし、TOMOYO Linuxのアクセス制御が原因でシステムが起動できなくなった場合には、以下の手順に従いアクセス制御を無効化して起動してください。

(1) TOMOYO Linux以外のカーネルが残っている場合

TOMOYO Linux以外のカーネルでシステムを起動し、/etc/ccs/profile.confを編集して問題を解決ください。このような場合のために、試験、開発環境であれば、通常のカーネルを残しておくことをお勧めします。

(2) TOMOYO Linuxカーネルしか残っていない場合

TOMOYO Linux 1.7.2 以降をご利用の場合は、カーネルのコマンドラインに ccsecurity=off を追加して起動してください。これにより「TOMOYO Linuxの機能を無効化した状態」で起動することができますので、/etc/ccs/profile.confなどを編集して問題を解決ください。

TOMOYO Linux 1.7.1 以前をご利用の場合は、カーネルのコマンドラインに CCS=disabled を追加して起動してください。これによりTOMOYO Linuxカーネルを「強制アクセス制御を無効化した状態」で起動することができますので、/etc/ccs/profile.confなどを編集して問題を解決ください。

Q. TOMOYOカーネルで起動すると"prequest_module: runaway loop modprobe binfmt-464c"というエラーでpanicします。

A. カーネルのアーキテクチャが合っていない可能性があります(64bit OSで32bitカーネルを導入等)。

使い方

Q. SSLの鍵ファイルを生成した後、Apacheを再起動したらSELinuxのエラーが出てしまい、解決に時間がかかったことがありました。TOMOYO Linuxではどうでしょうか。

A. Apacheに対してSSLの鍵ファイルを指すパス名にアクセスする権限が与えられているのであれば、エラーにはなりません。SELinuxではラベルを用いるので生成時に不適切なラベルが割り当てられてしまうとエラーになります。

Q. FedoraCore4+SELinuxを使っていたとき、webminの設定で、cronでwebalizerを起動する処理がうまくいかず、解決できませんでした。TOMOYO Linuxではこのような問題の解決は容易でしょうか。

A. もちろんです。cronからwebalizerを起動させたい場合、cronを学習モードに設定してから普通のLinuxと同様に起動させてみてください。するとcronからwebalizerを実行するためのドメインが自動的に作成されますし、cronに対しては自動的にwebalizerの実行許可が与えられます。
何回か起動させているうちに、どのようなテンポラリファイルが作成されているかも見えてきますので、ポリシーエディタを使ってパターン化できます。
また、TOMOYO Linuxでは強制モード(SELinuxでいうenforcingモード)にした状態でも、ポリシー違反が発生した場合にアクセス要求の諾否を対話的に指定できます。ウイルス対策ソフトのファイアウォール機能が、許可されていないプログラムがネットワークへのアクセスを試みた時にポップアップ画面を表示してユーザに可否を尋ねる画面を想像してください。

Q. 初歩的な質問で申し訳ないのですが、シェルスクリプトに実行権を与えて実行した場合、ドメインはスクリプトのパスとシェルのパスのどちらになるのでしょうか。

A. シェルスクリプトを実行した場合、ドメインはシェルスクリプトのパス名になります。また、 TOMOYO Linux 1.4 以降では、シェルスクリプトで使われているインタプリタ(シェルスクリプトの場合はシェルですね)に対する読み込み権限の有無がチェックされます。

Q. ccs-editpolicyで"allow_read"等を"r--"のように表示したいのですが。

A. /usr/lib/ccs/ccstools.confの内容で対応できます。表示内容を変更したいキーワードについて、エディタで変更ください。

情報

Q. 興味があるので調べてみたいのですが、何から始めれば良いですか?

A. 内容的には古くなってしまいましたが、Linux Conference 2005で発表した論文、「使いこなせて安全なLinuxを目指して」およびその当日説明資料が良いと思います。それを一読された上で、実際にお使いのディストビューションで導入いただくとモアベター(死語)です。Software Design 2007年1月号より「今日から使えるセキュアOS TOMOYO Linux」と題して連載中です。そちらも是非ご購読下さい。

Q. 性能評価結果(できれば他のセキュアOSとの比較があるとうれしい)はありますか?

A. CE Linux Forumの方が比較されたデータがあります。Mandatory Access Control Comparison

Q. 論文はありますか?

A. 2006年12月現在Linux Conference 3本を含めて5本の論文を執筆しています。論文はこちらで、当日説明用資料等はこちらで参照できます。

Q. TOMOYO Linuxの最新情報はどこで得られますか?

A. SourceForge.jpのニュースユーザーメーリングリスト、あるいは「TOMOYO Linuxとは - はてなダイアリー」等を御利用下さい。

Q. 実際に利用しているユーザの情報はありますか?

A. TOMOYO Linuxプロジェクトでは、「TOMOYO Linux情報循環検索システム」を運用しており、ブログ、web等でTOMOYO Linuxについて言及しているものを自動的に収集しています。その結果は、TOMOYO Linuxリンク集にて参照できます。

Q. 商用システムの導入事例はありますか?

A. 2006年5月15日に開催されたOpen Source Revolutoin!で、TOMOYO Linuxの商用システム導入事例を報告しています。当日配布資料はプロジェクトの文書のページで参照できます。

Q. 開発協力者を募集しているって本当ですか?

A. 本当です。

技術的内容

Q. /proc/ccs/meminfoのPolicy, Audit logs, Query listsの3つの項目はそれぞれ何を意味するのでしょうか?

A. Policy はパス名やドメイン名を記憶しておくために使用されているメモリの量です。 Audit logs はアクセス許可ログ・拒否ログを保持しておくために使用されているメモリの量です。/proc/ccs/grant_log と /proc/ccs/reject_log から読み出すことで減少するでしょう。 Query listsは対話的にアクセス可否を判断するために使用されているメモリの量です。

Q. 何故非LSM版が存在するのですか?

A. 説明すると長くなりますが、簡単に言うとLSMに対応するとTOMOYO Linuxの現在の機能は一部利用できなくなります。詳しくは、技術評論社「ネットワークセキュリティExpert 5」に説明を書きましたので、どうぞご参照下さい。

Q. パス名方式と聞いたのですが、大丈夫ですか?

A. 「大丈夫、絶対大丈夫だよ」、じゃなくて、ここは色々意見が分かれるところです。TOMOYO Linuxプロジェクトとしての見解を「ネットワークセキュリティExpert 5」に書きましたので、是非ご参照下さい。

Q. GUIはないのですか?

A. TOMOYO Linuxでは、全ての操作についてターミナル(コンソール、あるいはSSH接続)にて行うことができます。その意味でGUIは不要ですが、ユーザランドプログラムとして誰でも作成することができます。(もしあなたが作成されたら是非プロジェクトにご連絡下さい)

Q. アクセス制御はファイルだけで、粒度はread, write, executeの3種類だけですか?

A. 以前はそうでしたが、現在はネットワークやケイパビリティ等下記のような制御に対応しています。

機能概要
ファイルに対する強制アクセス制御ファイルに対する読み書き実行や作成やリネームなどを制御します。
ケイパビリティに対する強制アクセス制御特定の操作の可否を制御します。
ネットワークに対する強制アクセス制御使用可能なIPアドレスとポート番号を制御します。
シグナルの送信に対する強制アクセス制御送信可能なシグナルの番号と送信先を制御します。
ローカルポート番号の自動割当に対する制限特定のプログラムに利用させたいローカルポート番号が他のプログラムに割り当てられるのを防止します。

Q. 全てを「学習」することは不可能では?学習もれがあったら、ポリシー違反でアプリケーション等は正常に動作しませんよね。

A. TOMOYO Linuxのポリシー自動学習機能の使い方は、「一度学習して、その結果でそのまま運用する」ではなく、「学習結果を元にポリシーの内容を作り込んでいく」というものなんです。TOMOYO Linuxのポリシーはそれ自体大変可読性が高いですが、それでも管理者が一から手で書けるものではありません。自動学習機能を利用して、主要な部分を自動生成してから、定時バッチや特殊な場合にしか起こらないアクセスを追加していくことになります。ポリシーにないアクセスが(強制モードでは)拒否されるのは強制アクセス制御の仕様であり学習されているされていないには関係しません。不要なアクセスをできるだけ排除し、必要なものはもれなく定義する必要があります。

その他

Q. TOMOYO Linuxの商用利用(含むビジネス化)について検討したいのですが、どこに連絡すれば良いですか?

A. 原田 (haradats at nttdata.co.jp)までご連絡ください。それ以外の連絡先については、Contactのページをご覧ください。

Q. このWikiの画面左上やプロジェクトのトップページ、あるいは雑誌の連載で使用されているペンギンのキャラクターは何ですか?

A. このペンギンの画像は、TOMOYO Linuxのプレゼンテーション用の資料の素材として、イラストレータの五十嵐晃さんに作成をお願いしたものです。最初に登場したのは、Linux Conference 2005で発表した論文、「使いこなせて安全なLinuxを目指して」の当日説明資料ですが、とても良いイラストなので、プロジェクトのシンボルキャラクターとして活用させていただいています。

Q. 開発に参加することは可能ですか?

A. 勿論です!Developのページをご覧下さい。

Q. 画像(CG)はついていますか?エラーメッセージがカスタマイズされているのですか?

A. 残念ながらご想像されているような画像は付随しておりませんが、TOMOYO Linuxにインスパイアされて画像を作成、公開されている方はあるようです。エラーメッセージについても特にカスタマイズは行っておりません。しかし、TOMOYO Linuxはオープンソースなので、そのようなものを作成されることは可能です。もし、実際に画像を作成されて、それを公開されている方があればTOMOYO Linuxプロジェクトとして紹介したいので、是非ご連絡下さい。 ;)

Q. マスコットの名前はなんですか?

そう言われれば名前は決まっていません(今のところ名前がなくてもあまり困っていません)。

メーリングリストのこのスレッド にマスコット関連のやり取りがあります。

Q. 何かを狙っているんですか?

A. 何も狙ってません。

Q. メーリングリストはありますか?

A. 利用者用(tomoyo-users)と開発者用(tomoyo-dev)があります。


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2010-04-08 (木) 15:37:34 (3167d)