Toshiharu Harada
harad****@nttda*****
2011年 5月 23日 (月) 10:25:22 JST
(2011/05/23 9:03), 早間義博 wrote: > 早間です。 > ありがとうございます。 > 収束しました。 >> >> glibc パッケージのアップデートによりファイルのパス名が >> /lib/libc-2.12.1.so → /lib/libc-2.12.2.so のように >> 変化したのではないでしょうか? >> > > そのとおりです。 > >>> すべてが 6 ライブラリ全部を要求しているわけではありませんが >>> WARNING を起こした全コマンドに >>> allow_read /lib/\* >>> を入れました。 >> >> コマンドに対してではなく例外ポリシーに対して追加するのが良いと思います。 >> tomoyo-ld-watch コマンドを実行すると自動的に反映してくれます。 tomoyo-ld-watchのオンラインマニュアルはここですね。 http://tomoyo.sourceforge.jp/2.3/man-pages/tomoyo-ld-watch.html.en 読みながら思ったのですが、libcなどの影響度の高いモジュールの 更新がある場合には、tomoyo-ld-watchを実行して、 自動的に修正させるという以外に、ポリシー設定を一度待避しておいて、 更新後の環境でinit_policyを実行させ、例外ポリシーの差分を 手動で反映させる、というような手順は意味がありますでしょうか?>半田さん (結果としては同じになるかもしれませんが、自分で確認してから 手動で反映させたいという人がいた場合に) > ドキュメントを読んでいなかったので、無駄な作業をしました。 > /etc/tomoyo/domain_policy.conf のトラブルのドメインに対し、perl で強制的に > allow_read /lib/\* > を書き加えていました。 > またまた、無駄のことをしたかもしれませんが、上記 > allow_read /lib/\* > を削除し(grep -v 比較的労力が少ない)、 > /etc/tomoyo/exception_policy.conf に > allow_read /lib/\* > を加えました。 > > # perl が /usr/bin/perl5.12.3 として allow_execute に書き込まれて > # いますし、ドメインも /usr/bin/perl5.12.3 で作成されています。 > # /usr/bin/perl -> perl5.12.3 > # これは更新時には手作業ですか。 > >>> また、殆ど同じ(アプリケーションと付随してライブラリが多い)機械では >>> このような現象は起きていません。 >> >> その現象の発生していないマシンと発生しているマシンとで >> glibc パッケージに含まれているファイルのパス名を比較してみてください。 >> あるいは、その現象の発生しているマシンの例外ポリシーの allow_read に >> 指定されているパス名と、その現象の発生しているマシンの実際のパス名とを >> 比較してみてください。 >> > > 「現象の発生していないマシン」は > allow_read /lib/\* > # あるいは > # allow_read /lib32/\* > # allow_read /lib64/\* > # allow_read /lib64/\{\*\}/\* > がありました。 > 「現象の発生しているマシン」には個別に > allow_read /lib/・・・ > と指定されていました。とりあえず、 > allow_read /lib/\* > に修正しました。 > > tomoyo については 1.7 1.8 も使用しましたし、色々変更したのですが問題の > 起きたマシンは最初に手がけたマシンで、このマシンで tomoyo が自分で > も設定できると判断して他のマシンの設定を始めました。 > そんなこんなで他と違っていたのかもしれません。 > 例外ポリシーの使用方法が未熟なのでかなりの作業が発生しています。 TOMOYOは、ポリシー初期化ツールで「これはないといけないだろう」という 部分を例外ポリシーとして作成してくれるので、そこにないものを (ドメイン毎に)定義すれば良いですが、例外ポリシーの中には、 実際には必要としないものもあるかもしれませんし、例外ではなく、 ドメインごとに定義したいものもあるかもしれません。 手順 3.3 の後で、例外ポリシーの内容に目を通してみると良いかもしれませんね。 http://tomoyo.sourceforge.jp/2.3/chapter-3.html.ja -- 原田季栄 (Toshiharu Harada) harad****@nttda*****
TOMOYO
Fork