Naohiro Aota
nao.a****@gmail*****
2008年 4月 6日 (日) 21:11:03 JST
Tetsuo Handa <from-****@I-lov*****> writes: >> なるほど。 ぼくも $HOME/.ccstoolsrc もいいように思います。こうしておけば、 >> 例えば tomoyo-gui もこのファイルを解するようになってAさんが alpha サーバ >> の TOMOYO を Bさんが、 betaサーバの TOMOYO をそれぞれ tomoyo-gui を使って >> いじる、なんて時にも使えるようになるかもしれませんよね ;-) > > 現状、編集/閲覧が可能なポリシーの範囲をユーザやアプリケーション単位で制限する機能はありません。 > そのため、 /proc/ccs/ へのアクセスができるユーザはそのサーバのすべてのポリシーを > 編集/閲覧することができてしまいます。 > > alpha サーバと beta サーバって > 「1台のサーバの中で動いている /usr/sbin/httpd サービスと /usr/sbin/sendmail サービス」ではなくて > 「ホスト名が alpha というサーバとホスト名が beta というサーバの2台」 > を指しているんですよね? そうです。 > ポリシーの編集/閲覧ができるユーザが1台のサーバにつき1人という運用をしている限り、 > $HOME/.ccstoolsrc にする必要は無いと思うのです。 ポリシを管理するユーザが1台のマシンにつき1人という状態でも便利になりそう な点はあるように思います。例えば A さんが alpha マシンのポリシを B さんが beta マシンのポリシをcard マシンからtomoyo-gui 経由で管理しているとします。 こういう状況で AさんとBさんの管理するマシンが入れ替わる場合や Aさんが card マシンのポリシ管理も行なうようになった場合に、 ~/.ccstools.conf も使 えたほうが便利だと考えました。 まぁ… scp してしまえばすむ問題といえばそ うなのですが。 > 複数人でポリシーの編集/閲覧をするという運用はしないと思っているのですが、 > 複数人でポリシーの編集/閲覧をできるような運用をしたいということなのでしょうか? いえ、あくまでもこの話は仮定というか可能性の話であって実際にぼくがこうい う運用をしたいというわけではありません。 >> 実はこの疑問は ebuild を作っている時につまってしまったことから生まれまし >> た。多くのディストリビューションでは設定ファイルが編集されていれば、パッ >> ケージの更新によってそれが上書きされないようになっています。ところが、 >> Gentoo ではこの機能は基本的に /etc 以下のファイルにしか適用されないらしく、 >> /usr/lib/ccs/ccstools.conf が常に上書きされてしまいます。(他のディレクト >> リ以下のファイルにも適用できている例もあるにはあるのですが、どうにもその >> 方法がわかりません…) 他のディストリビューションではこのような問題は起こっ >> ていないのでしょうか? > > おやおや。でしたら、 Gentoo 向けパッケージでは ebuild の中に > /usr/lib/ccs/ccstools.conf から /etc/ccs/ccstools.conf への > シンボリックリンクを作成するという処理を追加していただいて構いませんよ。 あの後、 hito さんのコメントをもとに /usr/lib/ccs 以下のファイルを保護す る方法を発見しました。どうもお騒がせしました。 >> 一般に Gentoo では本家以外の ebuild を使うのに layman という仕組みを使い >> ます。この layman がサポートしているもので、 sourceforge 上でも使えるもの >> は Subversion と tar の2つです。Subversion なら SVN リポジトリを使うこと >> に、 tar ならば http://tomoyo.sourceforge.jp/ 以下に *.tar.gz ファイルを >> 置くことになると思います。個人的には Subversion のほうが更新が楽そうだと >> は思いますが、 tar のほうでも全く構いません。 > > 万一操作を間違えてファイルを削除してしまった場合にもすぐに復旧できるように > Subversion を使うのが良いと思います。 > tomoyo プロジェクトのメンバーになっていただくと Subversion を使って > http://tomoyo.sourceforge.jp/ 以下の更新ができるようになりますので、 > SourceForge.jp のアカウントを作成の上、原田さんまでお知らせください。 わかりました。 後ほど TOMOYO-dev のほうにメールします。 -- 青田
TOMOYO
Fork