TOMOYO Linux Wikiへようこそ

TOMOYO Linuxについて

TOMOYO Linuxは、Linuxに対する強制アクセス制御(MAC)の実装で、使いこなせて安全なLinuxの実現を目指しています。TOMOYO Linux Version 1.0は株式会社NTTデータにより開発され、2005年11月11日にSourceForge.jpでGPLライセンスのオープンソースとして公開されました。

Linux®は、Linus Torvalds氏の日本およびその他の国における登録商標または商標です。 TOMOYO®は、株式会社NTTデータの登録商標です。

このWikiについて

このWikiはプロジェクトメンバーからの情報発信、ユーザの方々との交流の場として、今後充実させていこうと思います。皆様からのフィードバックをお待ちしています。(Wikiですのでご自由に編集ください :)

Contents

Contact | Install | Q and A | LSM版TOMOYO Linux | GUI | 一緒にTOMOYO Linuxを作りませんか? | 開発者の広場 | 適用事例 | 資料室 | Worldwide Wiki | ギャラリー | OLS2007報告

What's New

2009.12.20 TOMOYO Linux version 1.7.1のホットフィックスをリリースしました

ccs-patch-1.7.1-20091111.tar.gz に関して、環境変数名に対するアクセス制御機能を有効にしていた場合に、メモリリークにより全てのメモリを消費してしまうことでシステムが動作不能に陥るという不具合が発見されました。 修正したものを ccs-patch-1.7.1-20091220.tar.gz としてアップロードしました。

2009.11.11 TOMOYO Linux version 1.7.1をリリースしました

多数のバグフィックスが行われたほか、組込み環境で利用しやすくするための修正が行われました。

2009.9.3 TOMOYO Linux version 1.7.0をリリースしました

ガベージコレクタを搭載したことで再起動することなくメモリを解放できるようになったのに加えて、 構文の統廃合などを行いました。

2009.5.28 TOMOYO Linux version 1.6.8をリリースしました

新たにシンボリックリンク作成時の参照先も制御できるようになりました。

2009.4.10 TOMOYO Linux version 1.6.7のホットフィックスをリリースしました

1.6.5 以降で address_group で IPv4 アドレスを指定した場合、バイト順序を並び替えるのを忘れてしまったことにより逆順に処理(例えば 127.0.0.1 と指定した場合 1.0.0.127 として処理)されていたため、 IPv4 アドレスを含む address_group を使ったパーミッションチェックが正しく行われていなかったという不具合が発見されました。 修正したものを ccs-patch-1.6.7-20090410.tar.gz としてアップロードしました。

2009.4.1 TOMOYO Linux version 1.6.7をリリースしました

新たに ioctl() のコマンド番号も制御できるようになりました。また、ファイル種別やパーミッションなどを考慮した制御が可能になりました。

組込み環境で利用しやすくするために、ネットワーク経由でポリシーの操作ができるようになりました。

2009.2.23 オープンソースカンファレンス2009Tokyo/SpringにてTOMOYOを紹介しました。

発表資料は、こちらから参照できます。

fileはじめてのTOMOYO Linux

2009.2.3 日本セキュアOSユーザ会主催のセキュアOS塾-02にてTOMOYOを紹介しました。

発表資料は、こちらから参照できます。

fileTOMOYO LinuxでLinuxの動きを見てみよう
fileQ&A

2009.2.2 TOMOYO Linux version 1.6.6をリリースしました

1.6.0 以降にファイルのアクセス制御で、allow_read/write という許可を与えたときに、「読み込み専用モードでのファイルオープンが拒否される」と「書き込み専用モードでのファイルオープンが拒否」される不具合が発見されました。 過去のホットフィックス(2008/12/10、2009/12/25)を含め修正したものを ccs-patch-1.6.6-20090202.tar.gz としてアップロードしました。

2008.12.25 TOMOYO Linux version 1.6.5のホットフィックスをリリースしました

1.6.0 以降の SYAORAN ファイルシステムに関して、「許可された時にエラーメッセージが表示される」「拒否された時にエラーメッセージが表示されない」という不具合が発見されました。動作上の問題は無いので、放置しておいても影響はありません。 修正したものを ccs-patch-1.6.5-20081225.tar.gz としてアップロードしました。

2008.12.10 TOMOYO Linux version 1.6.5のホットフィックスをリリースしました

ccs-patch-1.6.5-20081111.tar.gz にはアクセスログの読み出しが行われなかった場合に全てのメモリを消費してしまうことでシステムが動作不能に陥るという不具合が発見されました。 修正したものを ccs-patch-1.6.5-20081210.tar.gz としてアップロードしました。

2008.11.11 TOMOYO Linux version 1.6.5をリリースしました

3周年記念となるリリースです。多数の不具合修正及び使い勝手の向上が図られています。

2008.9.3 TOMOYO Linux version 1.6.4/1.5.5をリリースしました

カーネル 2.6.27-rc5 に対応したほか、 openSUSE 11.0 とUbuntu 8.10 とMandriva 2009.0 用のカーネルに対応しました。

1.6.4 に関しては不具合修正や機能拡張はありません。 1.5.5 に関しては、 1.6.2 〜 1.6.4 で行われた修正の内、 1.5.4 に該当するものを反映しました。

Turbolinux Client 2008, Mandriva 2008.1導入手順を追加しました

Turbolinux Client 2008とMandriva 2008.1は同一のカーネルを使用しており、TOMOYO Linux version 1.6.3が搭載されています。

2008.7.15 TOMOYO Linux version 1.6.3をリリースしました

version 1.6.3ではLiveCDで使われるunionfsに対してアクセス制御ができない場合があったのを修正しました。

2008.6.28 TOMOYO LinuxのFOSDEM'08での発表の顛末記?がWeb連載記事になりました。

2008.6.25 TOMOYO Linux version 1.6.2をリリースしました

version 1.6.2ではバグフィックスに加えて、GUI向けアプリケーション用のポリシーを記述しやすくするための仕様変更と、ソフトウェアアップデート時の作業手順の簡略化が行われました。

2008.6.20 NPO日本ネットワークセキュリティ協会のWebサーバでの実証実験について報告書が公開されました。

2008.5.21 Software Design連載、「TOMOYO Linuxの世界」第12回までWikiに転載されました。

クスノさんと熊猫先生に感謝です。(T_T) インデックスは下記からどうぞ。

2008.5.10 TOMOYO Linux version 1.5.4 / 1.6.1をリリースしました

version 1.6.1では特定の環境でコンパイルエラーや起動時にカーネルパニックとなる問題の修正を行ったほか、ポリシーのために割り当てられるメモリ量の上限を制限できるようにしました。

version 1.5.4は1.5.3のバグフィックスを行ったものです。

2008.4.1 TOMOYO Linux version 1.6.0をリリースしました

version 1.6.0は1.5.xを機能強化したもので、便利な機能を多数搭載しました。1.5.xのポリシーファイルは自動的に1.6.0のポリシーファイルに変換されますので、移行のためにポリシーを再作成する必要がありません。

2008.2.8 Software Design連載、「TOMOYO Linuxの世界」第6回までWikiに転載されました。

クスノさんと熊猫先生に感謝です。(T_T) インデックスは下記からどうぞ。

2008.1.31 TOMOYO Linux version 1.5.3をリリースしました

version 1.5.3はバグフィックスが1件と、ツールの機能拡張です。editpolicyのファイルアクセス制御の内容について、環境変数で表示内容を変更できるようになりました。

EDITPOLICY_KEYWORD_ALIAS='1=--x:2=-w-:3=-wx:4=r--:5=r-x:6=rw-:7=rwx'

とするとこんな画面になります。:)

editpolicy.jpg

2007.12.5 TOMOYO Linux version 1.5.2をリリースしました

version 1.5.2はバグフィックスが3件です。

2007.10.23 TOMOYO Linux version 1.5.1をリリースしました

version 1.5.1は学習モードのバグフィックスとツールの一部仕様変更です。詳細については下記リンクをご覧ください。

http://sourceforge.jp/forum/forum.php?forum_id=13155

2007.9.21 TOMOYO Linux version 1.5をリリースしました

version 1.5は機能的にはversion 1.4.2と変わりありませんが、開発会議でのLinux開発有識者の意見を反映して、いくつかの大きな変更がなされています。プロジェクトでは今後もTOMOYO Linuxのメインラインに取り組みますが、それが実現するまでの間version 1.5の安定化とサポートを行います。

主な変更点

  • ポリシーローダのパス名が/.initから/sbin/ccs-initに変更されました(TOMOYO Linuxとして"/"直下に配置するファイルはなくなりました)
  • ツールの保存場所が/root/ccstools/から/usr/lib/ccs/に変更されました(環境変数PATHに指定するのは/usr/lib/ccsのみです)
  • /etc/ccs/配下の構成が変更されました(1.4.2の設定はそのままでは1.5では利用できません)
    • ポリシーファイルの拡張子がtxtからconfに変更されました
    • status.txtはprofile.confに名前が変更されました
  • カーネルコマンドラインでinit=によるポリシーローダの指定が不要になりました
  • /proc/ccs/の下にディレクトリがなくなりファイルがフラットに配置されるよう変更されました
    • /proc/ccs/statusは/proc/ccs/profileに変更されました
  • ポリシーエディタがカラー表示になりました(色指定はカスタマイズ可能です)
  • loadpolicyが標準入力からの読み込み("-" オプション)に対応しました
  • マウント制御の判断ロジックが変更されました
  • 1.4.2のバグフィックスが行われました

1.4.2の環境からの移行

  • /etc/ccs配下のファイルをrenameします。
    • status.txt -> profile.conf
    • manager.txt -> manager.conf
  • /etc/ccs/manager.confの中の/root/ccstoolsを/usr/lib/ccsに置換します。
  • 環境変数PATHに/usr/lib/ccsを追加し、/root/ccstoolsを削除します。

各種仕様の変更に伴いTOMOYO Linux GUI 1.0は、version 1.5では動作しません。ご不便をおかけしますが、対応までお待ち下さい。

1.4.2で作成したポリシーの移行

  • 既存のポリシーの拡張子をtxtからconfに変更します。
  • initializerディレクティブをinitialize_domainに置換します。
  • ポリシー中の/root/ccstoolsを/usr/lib/ccsに置換します。
  • ポリシー中の/etc/ccs/{status.txt,manager.txt}をそれぞれprofile.conf, manager.confに置換します。
  • ポリシー中の/proc/ccs/{info,policy}を/proc/ccsに置換し、/proc/ccs/statusを/proc/ccs/profileに置換します。
  • マウント制御はディレクティブに変更はありませんが、「マウントするデバイス」「マウントポイント」「ファイルシステム」「マウントオプション」の4要素が全て一致した場合にアクセスが許可されるように動作が変更されたので、再学習を行うことをお勧めします。

1.4.2のバグフィックス内容

  • CheckMountPermission()が-ENODEVを返すべきところで-EPERMを返す不具合を修正しました
  • allow_argv0 の2番目のパラメータとしてifという単語を指定し、さらにif節も指定した場合、ポリシーパーサが正しく処理できない不具合を修正しました
  • read()システムコールやaddressフィールドにNULLを指定したrecvmsg()システムコールで受信した場合、送信元アドレスによるパケットフィルタリングが機能しない不具合を修正しました

導入手順

主要なディストリビューションのインストール手順については、http://tomoyo.sourceforge.jp/をご参照下さい。

2007.6.29 Ottawa Linux Symposium 2007TOMOYO LinuxのBoFを行いました

DSCF2165.JPG

向かって左から、Novell関係者(多分)、武田君、Seth Arnold (AppArmor)、熊猫氏。撮影は原田で、笑かそうとしたら、皆さんとても気持ち良く笑ってくれたのだが、どう笑わせたかを思い出せない。

BoFの反響等については、OLS2007-BOFのページに整理します。

2007.6.22 ThinkITでTOMOYO Linux連載が始まりました

2007.6.18 TOMOYO Linux GUI 1.0.0をリリースしました

tables.png

2007.6.13 TOMOYO Linuxについてlkmlに投稿しました

TOMOYO Linux 2.0 (LSM版)をリリースしました

TOMOYO Linux 1.4.1をリリースしました

OLS2007 (Ottawa Linux Symposium 2007)

ls_468x60_banner.gif

TOMOYO Linuxは、2007年の6月27-29日にオタワで開催されるOttawa Linux SymposiumでBOFセッションを行います。

ELC2007 (Embedded Linux Conference 2007)

2007/4/17-19, San Joseで開催されたCE Linux forum Worldwide Embedded Linux Conference 2007で、TOMOYO Linuxのプレゼンテーションとチュートリアルを行いました。

その他の対応済みイベントと予定

  • はてなダイアリーのキーワード、TOMOYO Linuxとはに、主なイベントと予定について時系列で更新しています。発表資料等の参照はこちらが便利です。
  • SourceForge.jpのプロジェクトニュースでプロジェクトとしてのアナウンスを保存しています。

インストール

導入手順書

その他のバイナリパッケージ

構築手順

リファレンスマニュアル

その他の技術資料

フィードバック

是非皆さんの声をお聞かせ下さい。

Q&A

疑問に思うことがあれば何でもどうぞ。

使い方: 登録済みの内容はQ&Aでご確認いただけます。新たな質問は、Q&A「新しいセクション」に記入いただけば回答します(それ以外のところでも良いのですが見落とさないようにするため)。

その他

PukiWikiについて

練習ページ

ドキュメント

添付ファイル: fileeditpolicy2.jpg 448件 [詳細] fileeditpolicy.jpg 679件 [詳細] fileeditpolicy.bmp 414件 [詳細]
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2009-12-20 (Sun) 20:51:44 (51d)