TOMOYO Linux LiveCD Tutorial for Ubuntu 12.04
- このページについて
- LiveCD を入手する
- LiveCD で起動する
- LiveCD を使ってみる
- アクセスを制限してみる
- (参考)ハードディスクにインストールする
- さらに TOMOYO Linux を使いこなす
このページについて
このページでは TOMOYO Linux の LiveCD の使い方について解説します。 TOMOYO Linux LiveCD は、 CD で起動できる Linux ディストリビューションである Ubuntu に、 TOMOYO Linux カーネルとツールをインストールして基本的な設定を行った状態で配布している CD イメージです。 TOMOYO Linux LiveCD を使うことで、既存の環境に影響を与えることなく手軽に TOMOYO Linux を体験できます。
LiveCD を入手する
TOMOYO Linux LiveCD の ISO イメージは、 TOMOYO Linux プロジェクトの ダウンロードページから入手できます。
ダウンロードした ISO イメージは書き込みソフトで CD-R に焼いてください。 CD-R に焼きたくない場合、 VMware Player を使うことで ISO イメージのまま TOMOYO Linux LiveCD を起動することもできます。
LiveCD で起動する
CD-R に焼いた LiveCD を CD-ROM ドライブに入れてマシンを起動するか、前節で紹介した方法で VMware Player 上で ISO イメージから起動すると、以下の画面が表示されます。
言語の一覧をスクロールして「日本語」を選択することで、メニュー表示を日本語化できます。
「 Ubuntu を試す」を選択すると、以下のようなデスクトップが表示されます。 通常の Ubuntu LiveCD とほとんど同じですが、デスクトップに TOMOYO Linux 関連のアイコンが追加されています。
LiveCD を使ってみる
まずは「 TOMOYO Linux ポリシー違反ログ」アイコンをダブルクリックしてみてください。 以下のようなウィンドウが表示されます:
この画面は TOMOYO Linux のポリシーに違反したアクセスログを表示しています。 新たなポリシー違反が発生すればすぐに表示されるようになっています。 LiveCD では何の許可も与えていないポリシーで起動されるので、全てのアクセスがポリシー違反ログとして出力されます。 ウィンドウを開いたままで、さまざまな操作をしてみてください。 どんなプロセスがどんな資源にアクセスしたかが逐次表示されます。
続けて、「 TOMOYO Linux ポリシーエディタ」アイコンをダブルクリックしてみてください。 以下のようなウィンドウが表示されます:
この画面には今までにどのようなプロセスが起動されたかを木構造で表示しており、それぞれの行はドメインと呼ばれます。 システム起動時から、実行されたすべてのプロセスがTOMOYO Linuxカーネルで監視されています。 どんなプロセスがどんな資源にアクセスしたかなどの情報が、すべてポリシーとして記録されています。 ポリシーエディタを使ってポリシーをブラウズするだけで、システムの挙動を手に取るように把握することができます。 これが TOMOYO Linux の最大の特徴です。
ポリシーエディタの最初の画面では、 <kernel> を基点として、どんなプロセスがどんなプロセスを起動したのかが木構造で表示されます。 カーソルキーや PageUp / PageDown キーで適当にスクロールして、システム内でどんなプロセスが起動されたかを調べてみてください。
試しに gnome-terminal というプロセスを探してみましょう。 'F' キーを押すと最下行に検索のための1行入力が表示されます。 そこに 'gnome-terminal' と入力して Enter キーを押してください:
gnome-terminal の下には /usr/bin/sudo という行が存在し、さらにその下に、 /usr/bin/tail や /usr/sbin/ccs-editpolicy という行が存在するのが見てとれます:
表示されている /usr/bin/tail の行にカーソルを合わせて Enter キーを押してみましょう:
それぞれの行の一番左が行番号で、その次に表示されている単語はアクセスの種類を表しています。 file execute が実行を許可、 file write が書き込みモードでのオープンを許可、 file read が読み込みモードでのオープンを許可、 misc env が環境変数名の受け取り許可を表しています。 画面から、 tail コマンドがロケールファイルと、 /var/log/tomoyo/reject_000.log /var/log/tomoyo/reject_001.log /var/log/tomoyo/reject_002.log /var/log/tomoyo/reject_003.log というファイルを読み込んだことが読み取れます。 これはデスクトップの「 TOMOYO Linux ポリシー違反ログ」というアイコンをダブルクリックして実行した結果学習されたポリシーです。
もとのドメインの木構造の画面に戻るためには Enter キーを押します。 プロセスがどういう履歴で起動され、どんな資源にアクセスしているかをブラウズしてみてください。
アクセスを制限してみる
学習されたポリシーを見るだけでなく、 TOMOYO Linux によるアクセス制御を体験してみましょう。 先ほどのポリシーエディタの画面は閉じずにそのままにしておいて、画面上端に表示されている「 Dash home 」アイコンをクリックし、検索バーに「 terminal 」とタイプすると表示される「 Terminal 」アイコンをクリックしてください:
端末が起動できたら、先ほどのポリシーエディタの画面に戻り、ドメインの木構造が表示されている状態で、 'R' キーを押してポリシーを再読み込みしてください。 そして、 gnome-terminal 以下の /bin/bash を探して見てください。 検索は先ほどと同じく 'F' キーで行えます。次の一致は 'N' キーです。:
これは先ほど起動した端末内で実行されている bash です。 ls や sed などのプログラムが bash の開始時に自動的に実行されたことにより、それらのプログラムのためのドメインが作成されています。 端末の画面で、以下のコマンドを実行してください:
$ head /etc/passwd $ bash $ tail /etc/passwd $ exit
再度ポリシーエディタの画面に戻って 'R' キーを押すと、実行したプログラムが追加されていることが分かります:
この画面で、行番号の次に表示されている数字に注目してください。 今は全ての行で '1' と表示されています:
これはそのプロセスが動いている TOMOYO Linux のモードを表しており、プロファイル番号とよばれる数値です。 プロファイルとして以下の4種類が定義されており、 LiveCD ではあらかじめ全て 1 (学習モード)に設定されています:
| プロファイル番号 | 意味 |
|---|---|
| 0 | 無効モード( TOMOYO Linux は何もしない) |
| 1 | 学習モード(ポリシー違反のアクセス要求を容認して、その要求をポリシーに追加する) |
| 2 | 確認モード(ポリシー違反のアクセス要求を容認する) |
| 3 | 強制モード(ポリシー違反のアクセス要求を拒否する) |
TOMOYO Linux のアクセス制御を有効にするには、プロファイル番号 3 をドメインに割り当てる必要があります。 今回は gnome-terminal から起動された bash での操作をアクセス制御の対象としてみましょう。 まず、 gnome-terminal 直下の bash にカーソルを合わせてスペースキーを押します。 すると、行番号の左側に '&' マークが表示され、この行が選択された状態になります:
この状態で 'C' キーを押すと、 '&' マークの有無がカーソル行以下全部にコピーされます:
次に、 gnome-pty-helper にカーソルを合わせてスペースキーを押します。すると、行番号の左側の '&' マークが消えます:
この状態で 'C' キーを押すと、 '&' マークの有無がカーソル行以下全部にコピーされます:
この状態で 'S' キーを押すと、ポリシーエディタの最下行にプロファイル番号を入力する 1 行入力が表示されます。 アクセス制御を体験するために、プロファイル 3 (強制モード)を割り当てましょう:
'&' マークが付いていたドメインにプロファイル番号 3 が割り当てられました:
これでもう gnome-terminal から起動された bash に対しては強制モードで動いています。 端末の画面で適当なコマンドを入力してみてください。 先ほど学習モードで実行したコマンド以外は拒否されるはずです。 以下の画面では、 head /etc/passwd の実行には成功していますが、 ps や id コマンドの実行は拒否されています:
また、1段階目の bash では tail /etc/passwd は拒否されますが、 bash をもう1段起動した場合には許可されます:
これは、 TOMOYO Linux がプロセスをその実行履歴によって区別していることに起因しています。 ポリシーエディタを見ると、以下の2種類の bash が存在します。
- gnome-terminal から実行された bash
- gnome-terminal から実行された bash から起動された bash
head コマンドは1つ目の、 tail コマンドは2つ目の bash のみにしか許可されていないことが分かります。 TOMOYO Linux はシステム起動時から起動されたすべてのプロセスを監視しており、プロセスは実行履歴によって細かく区別されます。
/var/log/tomoyo/reject_003.log には、以下のように mode=enforcing という行を含んだログを見つけることができます。実行履歴と要求されたファイルのパス名だけでなく、プロセスの情報/コマンドライン引数/環境変数など詳細な情報を含んだログが記録されています。より厳密なアクセス制御を行いたい場合には、必要に応じてこれらの情報を条件として指定することもできます。
#2012/05/05 11:00:30# profile=3 mode=enforcing granted=no (global-pid=5555) task={ pid=5555 ppid=5423 uid=999 gid=999 euid=999 egid=999 suid=999 sgid=999 fsuid=999 fsgid=999 type!=execute_handler } path1={ uid=0 gid=0 ino=32204 major=7 minor=0 perm=0755 type=file } path1.parent={ uid=0 gid=0 ino=1525 perm=0755 } exec={ realpath="squashfs:/bin/ps" argc=1 envc=36 argv[]={ "ps" } envp[]={ "SSH_AGENT_PID=4837" "GPG_AGENT_INFO=/tmp/keyring-XyKrEp/gpg:0:1" "TERM=xterm" "SHELL=/bin/bash" "XDG_SESSION_COOKIE=d20f16b3e9fc48f3d4e425ef00000017-1336091640.53174-1297177047" "WINDOWID=58720261" "GNOME_KEYRING_CONTROL=/tmp/keyring-XyKrEp" "USER=ubuntu" "LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36:" "XDG_SESSION_PATH=/org/freedesktop/DisplayManager/Session0" "XDG_SEAT_PATH=/org/freedesktop/DisplayManager/Seat0" "SSH_AUTH_SOCK=/tmp/keyring-XyKrEp/ssh" "SESSION_MANAGER=local/ubuntu:@/tmp/.ICE-unix/4799,unix/ubuntu:/tmp/.ICE-unix/4799" "DEFAULTS_PATH=/usr/share/gconf/ubuntu-2d.default.path" "XDG_CONFIG_DIRS=/etc/xdg/xdg-ubuntu-2d:/etc/xdg" "PATH=/usr/lib/lightdm/lightdm:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games" "DESKTOP_SESSION=ubuntu-2d" "PWD=/home/ubuntu" "LANG=en_US.UTF-8" "MANDATORY_PATH=/usr/share/gconf/ubuntu-2d.mandatory.path" "UBUNTU_MENUPROXY=libappmenu.so" "GDMSESSION=ubuntu-2d" "SHLVL=1" "HOME=/home/ubuntu" "GNOME_DESKTOP_SESSION_ID=this-is-deprecated" "LOGNAME=ubuntu" "XDG_DATA_DIRS=/usr/share/ubuntu-2d:/usr/share/gnome:/usr/local/share/:/usr/share/" "DBUS_SESSION_BUS_ADDRESS=unix:abstract=/tmp/dbus-1zeCZoSrS5,guid=10a6e1e3136d655ec8ff22a000000234" "LESSOPEN=|\040/usr/bin/lesspipe\040%s" "DISPLAY=:0" "XDG_CURRENT_DESKTOP=Unity" "LESSCLOSE=/usr/bin/lesspipe\040%s\040%s" "RUNNING_UNDER_GDM=yes" "COLORTERM=gnome-terminal" "XAUTHORITY=/home/ubuntu/.Xauthority" "_=/bin/ps" } }
<kernel> /sbin/init /bin/sh /usr/sbin/lightdm /usr/sbin/lightdm /usr/sbin/lightdm-session /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/gnome-session /usr/bin/unity-2d-shell /usr/bin/gnome-terminal /bin/bash
file execute /bin/ps
#2012/05/05 11:00:30# profile=3 mode=enforcing granted=no (global-pid=5555) task={ pid=5555 ppid=5423 uid=999 gid=999 euid=999 egid=999 suid=999 sgid=999 fsuid=999 fsgid=999 type!=execute_handler } path1={ uid=0 gid=0 ino=32204 major=7 minor=0 perm=0755 type=file } path1.parent={ uid=0 gid=0 ino=1525 perm=0755 }
<kernel> /sbin/init /bin/sh /usr/sbin/lightdm /usr/sbin/lightdm /usr/sbin/lightdm-session /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/gnome-session /usr/bin/unity-2d-shell /usr/bin/gnome-terminal /bin/bash
file read squashfs:/bin/ps
#2012/05/05 11:00:43# profile=3 mode=enforcing granted=no (global-pid=5556) task={ pid=5556 ppid=5423 uid=999 gid=999 euid=999 egid=999 suid=999 sgid=999 fsuid=999 fsgid=999 type!=execute_handler } path1={ uid=0 gid=0 ino=180922 major=7 minor=0 perm=0755 type=file } path1.parent={ uid=0 gid=0 ino=17658 perm=0755 } exec={ realpath="squashfs:/usr/bin/id" argc=1 envc=36 argv[]={ "id" } envp[]={ "SSH_AGENT_PID=4837" "GPG_AGENT_INFO=/tmp/keyring-XyKrEp/gpg:0:1" "TERM=xterm" "SHELL=/bin/bash" "XDG_SESSION_COOKIE=d20f16b3e9fc48f3d4e425ef00000017-1336091640.53174-1297177047" "WINDOWID=58720261" "GNOME_KEYRING_CONTROL=/tmp/keyring-XyKrEp" "USER=ubuntu" "LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36:" "XDG_SESSION_PATH=/org/freedesktop/DisplayManager/Session0" "XDG_SEAT_PATH=/org/freedesktop/DisplayManager/Seat0" "SSH_AUTH_SOCK=/tmp/keyring-XyKrEp/ssh" "SESSION_MANAGER=local/ubuntu:@/tmp/.ICE-unix/4799,unix/ubuntu:/tmp/.ICE-unix/4799" "DEFAULTS_PATH=/usr/share/gconf/ubuntu-2d.default.path" "XDG_CONFIG_DIRS=/etc/xdg/xdg-ubuntu-2d:/etc/xdg" "PATH=/usr/lib/lightdm/lightdm:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games" "DESKTOP_SESSION=ubuntu-2d" "PWD=/home/ubuntu" "LANG=en_US.UTF-8" "MANDATORY_PATH=/usr/share/gconf/ubuntu-2d.mandatory.path" "UBUNTU_MENUPROXY=libappmenu.so" "GDMSESSION=ubuntu-2d" "SHLVL=1" "HOME=/home/ubuntu" "GNOME_DESKTOP_SESSION_ID=this-is-deprecated" "LOGNAME=ubuntu" "XDG_DATA_DIRS=/usr/share/ubuntu-2d:/usr/share/gnome:/usr/local/share/:/usr/share/" "DBUS_SESSION_BUS_ADDRESS=unix:abstract=/tmp/dbus-1zeCZoSrS5,guid=10a6e1e3136d655ec8ff22a000000234" "LESSOPEN=|\040/usr/bin/lesspipe\040%s" "DISPLAY=:0" "XDG_CURRENT_DESKTOP=Unity" "LESSCLOSE=/usr/bin/lesspipe\040%s\040%s" "RUNNING_UNDER_GDM=yes" "COLORTERM=gnome-terminal" "XAUTHORITY=/home/ubuntu/.Xauthority" "_=/usr/bin/id" } }
<kernel> /sbin/init /bin/sh /usr/sbin/lightdm /usr/sbin/lightdm /usr/sbin/lightdm-session /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/gnome-session /usr/bin/unity-2d-shell /usr/bin/gnome-terminal /bin/bash
file execute /usr/bin/id
#2012/05/05 11:00:43# profile=3 mode=enforcing granted=no (global-pid=5556) task={ pid=5556 ppid=5423 uid=999 gid=999 euid=999 egid=999 suid=999 sgid=999 fsuid=999 fsgid=999 type!=execute_handler } path1={ uid=0 gid=0 ino=180922 major=7 minor=0 perm=0755 type=file } path1.parent={ uid=0 gid=0 ino=17658 perm=0755 }
<kernel> /sbin/init /bin/sh /usr/sbin/lightdm /usr/sbin/lightdm /usr/sbin/lightdm-session /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/gnome-session /usr/bin/unity-2d-shell /usr/bin/gnome-terminal /bin/bash
file read squashfs:/usr/bin/id
#2012/05/05 11:00:54# profile=3 mode=enforcing granted=no (global-pid=5557) task={ pid=5557 ppid=5423 uid=999 gid=999 euid=999 egid=999 suid=999 sgid=999 fsuid=999 fsgid=999 type!=execute_handler } path1={ uid=0 gid=0 ino=7922 major=0 minor=16 perm=0644 type=file } path1.parent={ uid=0 gid=0 ino=7921 perm=0755 }
<kernel> /sbin/init /bin/sh /usr/sbin/lightdm /usr/sbin/lightdm /usr/sbin/lightdm-session /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/gnome-session /usr/bin/unity-2d-shell /usr/bin/gnome-terminal /bin/bash /usr/bin/head
file read tmpfs:/etc/fstab
#2012/05/05 11:00:54# profile=3 mode=enforcing granted=no (global-pid=5557) task={ pid=5557 ppid=5423 uid=999 gid=999 euid=999 egid=999 suid=999 sgid=999 fsuid=999 fsgid=999 type!=execute_handler } path1={ uid=0 gid=0 ino=31669 major=7 minor=0 perm=0644 type=file } path1.parent={ uid=0 gid=0 ino=1516 perm=0755 }
<kernel> /sbin/init /bin/sh /usr/sbin/lightdm /usr/sbin/lightdm /usr/sbin/lightdm-session /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/gnome-session /usr/bin/unity-2d-shell /usr/bin/gnome-terminal /bin/bash /usr/bin/head
file read squashfs:/etc/locale.alias
#2012/05/05 11:00:54# profile=3 mode=enforcing granted=no (global-pid=5557) task={ pid=5557 ppid=5423 uid=999 gid=999 euid=999 egid=999 suid=999 sgid=999 fsuid=999 fsgid=999 type!=execute_handler } path1={ uid=0 gid=0 ino=169902 major=7 minor=0 perm=0644 type=file } path1.parent={ uid=0 gid=0 ino=16901 perm=0755 }
<kernel> /sbin/init /bin/sh /usr/sbin/lightdm /usr/sbin/lightdm /usr/sbin/lightdm-session /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/gnome-session /usr/bin/unity-2d-shell /usr/bin/gnome-terminal /bin/bash /usr/bin/head
file read squashfs:/usr/share/locale-langpack/en/LC_MESSAGES/coreutils.mo
#2012/05/05 11:01:27# profile=3 mode=enforcing granted=no (global-pid=5559) task={ pid=5559 ppid=5423 uid=999 gid=999 euid=999 egid=999 suid=999 sgid=999 fsuid=999 fsgid=999 type!=execute_handler } path1={ uid=0 gid=0 ino=181657 major=7 minor=0 perm=0755 type=file } path1.parent={ uid=0 gid=0 ino=17658 perm=0755 } exec={ realpath="squashfs:/usr/bin/tail" argc=2 envc=36 argv[]={ "tail" "/etc/passwd" } envp[]={ "SSH_AGENT_PID=4837" "GPG_AGENT_INFO=/tmp/keyring-XyKrEp/gpg:0:1" "TERM=xterm" "SHELL=/bin/bash" "XDG_SESSION_COOKIE=d20f16b3e9fc48f3d4e425ef00000017-1336091640.53174-1297177047" "WINDOWID=58720261" "GNOME_KEYRING_CONTROL=/tmp/keyring-XyKrEp" "USER=ubuntu" "LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lz=01;31:*.xz=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.axv=01;35:*.anx=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.axa=00;36:*.oga=00;36:*.spx=00;36:*.xspf=00;36:" "XDG_SESSION_PATH=/org/freedesktop/DisplayManager/Session0" "XDG_SEAT_PATH=/org/freedesktop/DisplayManager/Seat0" "SSH_AUTH_SOCK=/tmp/keyring-XyKrEp/ssh" "SESSION_MANAGER=local/ubuntu:@/tmp/.ICE-unix/4799,unix/ubuntu:/tmp/.ICE-unix/4799" "DEFAULTS_PATH=/usr/share/gconf/ubuntu-2d.default.path" "XDG_CONFIG_DIRS=/etc/xdg/xdg-ubuntu-2d:/etc/xdg" "PATH=/usr/lib/lightdm/lightdm:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games" "DESKTOP_SESSION=ubuntu-2d" "PWD=/home/ubuntu" "LANG=en_US.UTF-8" "MANDATORY_PATH=/usr/share/gconf/ubuntu-2d.mandatory.path" "UBUNTU_MENUPROXY=libappmenu.so" "GDMSESSION=ubuntu-2d" "SHLVL=1" "HOME=/home/ubuntu" "GNOME_DESKTOP_SESSION_ID=this-is-deprecated" "LOGNAME=ubuntu" "XDG_DATA_DIRS=/usr/share/ubuntu-2d:/usr/share/gnome:/usr/local/share/:/usr/share/" "DBUS_SESSION_BUS_ADDRESS=unix:abstract=/tmp/dbus-1zeCZoSrS5,guid=10a6e1e3136d655ec8ff22a000000234" "LESSOPEN=|\040/usr/bin/lesspipe\040%s" "DISPLAY=:0" "XDG_CURRENT_DESKTOP=Unity" "LESSCLOSE=/usr/bin/lesspipe\040%s\040%s" "RUNNING_UNDER_GDM=yes" "COLORTERM=gnome-terminal" "XAUTHORITY=/home/ubuntu/.Xauthority" "_=/usr/bin/tail" } }
<kernel> /sbin/init /bin/sh /usr/sbin/lightdm /usr/sbin/lightdm /usr/sbin/lightdm-session /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/gnome-session /usr/bin/unity-2d-shell /usr/bin/gnome-terminal /bin/bash
file execute /usr/bin/tail
#2012/05/05 11:01:27# profile=3 mode=enforcing granted=no (global-pid=5559) task={ pid=5559 ppid=5423 uid=999 gid=999 euid=999 egid=999 suid=999 sgid=999 fsuid=999 fsgid=999 type!=execute_handler } path1={ uid=0 gid=0 ino=181657 major=7 minor=0 perm=0755 type=file } path1.parent={ uid=0 gid=0 ino=17658 perm=0755 }
<kernel> /sbin/init /bin/sh /usr/sbin/lightdm /usr/sbin/lightdm /usr/sbin/lightdm-session /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/gnome-session /usr/bin/unity-2d-shell /usr/bin/gnome-terminal /bin/bash
file read squashfs:/usr/bin/tail
#2012/05/05 11:01:31# profile=3 mode=enforcing granted=no (global-pid=5576) task={ pid=5576 ppid=5575 uid=999 gid=999 euid=999 egid=999 suid=999 sgid=999 fsuid=999 fsgid=999 type!=execute_handler } path1={ uid=999 gid=999 ino=30677 major=0 minor=8 perm=0600 type=fifo } path1.parent={ uid=999 gid=999 ino=30677 perm=0600 }
<kernel> /sbin/init /bin/sh /usr/sbin/lightdm /usr/sbin/lightdm /usr/sbin/lightdm-session /usr/bin/ssh-agent /usr/bin/dbus-launch /usr/bin/gnome-session /usr/bin/unity-2d-shell /usr/bin/gnome-terminal /bin/bash /bin/bash /bin/ls
file ioctl pipe:[30677] 0x5413
(参考)ハードディスクにインストールする
設定や学習させたポリシーは LiveCD で起動している間のみで有効で、システムを終了させると失われてしまいます。 継続的に使用したい場合はハードディスクにインストールしてください。 デスクトップの「インストール」アイコンをダブルクリックしてあとの指示に従えば、 TOMOYO Linux が導入された状態の Ubuntu をハードディスクにインストールできます。 LiveCD として起動する分には既存の環境に影響を与えません。 しかし、ハードディスクにインストールすると既存の OS 領域を上書きしてしまう可能性があります。くれぐれも注意ください。
root ユーザ権限で ccs-savepolicy コマンドを実行すればポリシーを保存することができます。 保存されたポリシーは次回起動時に参照されます。
さらに TOMOYO Linux を使いこなす
上記手順で解説した内容で、 TOMOYO Linux の基本的なアクセス制御を体験できました。 TOMOYO Linux にはさまざまな機能があります。さらに TOMOYO Linux を使いこなしたいという方は、このページの先頭にあるリンクを辿ってください。