早間義博
yossi****@yedo*****
2011年 5月 23日 (月) 09:03:34 JST
TOMOYO
Fork早間です。
ありがとうございます。
収束しました。
>
> glibc パッケージのアップデートによりファイルのパス名が
> /lib/libc-2.12.1.so → /lib/libc-2.12.2.so のように
> 変化したのではないでしょうか?
>
そのとおりです。
> > すべてが 6 ライブラリ全部を要求しているわけではありませんが
> > WARNING を起こした全コマンドに
> > allow_read /lib/\*
> > を入れました。
>
> コマンドに対してではなく例外ポリシーに対して追加するのが良いと思います。
> tomoyo-ld-watch コマンドを実行すると自動的に反映してくれます。
>
ドキュメントを読んでいなかったので、無駄な作業をしました。
/etc/tomoyo/domain_policy.conf のトラブルのドメインに対し、perl で強制的に
allow_read /lib/\*
を書き加えていました。
またまた、無駄のことをしたかもしれませんが、上記
allow_read /lib/\*
を削除し(grep -v 比較的労力が少ない)、
/etc/tomoyo/exception_policy.conf に
allow_read /lib/\*
を加えました。
# perl が /usr/bin/perl5.12.3 として allow_execute に書き込まれて
# いますし、ドメインも /usr/bin/perl5.12.3 で作成されています。
# /usr/bin/perl -> perl5.12.3
# これは更新時には手作業ですか。
> > また、殆ど同じ(アプリケーションと付随してライブラリが多い)機械では
> > このような現象は起きていません。
>
> その現象の発生していないマシンと発生しているマシンとで
> glibc パッケージに含まれているファイルのパス名を比較してみてください。
> あるいは、その現象の発生しているマシンの例外ポリシーの allow_read に
> 指定されているパス名と、その現象の発生しているマシンの実際のパス名とを
> 比較してみてください。
>
「現象の発生していないマシン」は
allow_read /lib/\*
# あるいは
# allow_read /lib32/\*
# allow_read /lib64/\*
# allow_read /lib64/\{\*\}/\*
がありました。
「現象の発生しているマシン」には個別に
allow_read /lib/・・・
と指定されていました。とりあえず、
allow_read /lib/\*
に修正しました。
tomoyo については 1.7 1.8 も使用しましたし、色々変更したのですが問題の
起きたマシンは最初に手がけたマシンで、このマシンで tomoyo が自分で
も設定できると判断して他のマシンの設定を始めました。
そんなこんなで他と違っていたのかもしれません。
例外ポリシーの使用方法が未熟なのでかなりの作業が発生しています。
-- 早間