tomoyotitle.png

Chapter 9: より詳細なプロファイルの管理

9.1. プロファイルの初期化

/usr/lib/tomoyo/init_policy により実行される初期設定は、アクセスを制限したい内容だけを有効にすることでポリシーの作成を容易にするために、コマンドラインオプションを指定することでカスタマイズすることができます。例えば、ファイルに関するアクセス制御だけを有効にしたい場合には --file-only-profile オプションを指定できます。コマンドラインオプションで指定した内容はポリシーディレクトリに作成されるファイルの内容を変化させるだけであり、ポリシーの作成方法を制約するものではありません。これらのファイルはポリシーエディタを用いて後からあなたの要望に沿うように修正することができます。以下に、指定可能なコマンドラインオプションの一覧を示します:

オプション

デフォルト

内容

--full-profile

指定済

全ての機能を有効にするプロファイルを作成します。 --file-only-profile オプションが指定されない限り、このオプションが指定されたものとして扱われます。

--file-only-profile

未指定

ファイルに関するアクセス制御機能のみを有効にするプロファイルを作成します。

--use_profile="$number"

0

/etc/tomoyo/domain_policy.conf の作成時に <kernel> ドメインに割り当てられるプロファイルの番号を指定します。この数値は 0 ~ 255 の間の整数値です。

--use_group="$number"

0

/etc/tomoyo/domain_policy.conf の作成時に <kernel> ドメインに割り当てられるアクセス許可グループの番号を指定します。この数値は 0 ~ 255 の間の整数値です。

--root="$rootdir"

/

ポリシーファイル用ディレクトリを生成するときのルートディレクトリを指定します。

--policy_dir="$configdir"

/etc/tomoyo/

ポリシーファイル用ディレクトリを指定します。もし、このオプションを指定した場合、 $configdir へのシンボリックリンクを /etc/tomoyo という名前で作成する必要があります。

--grant_log="$bool"

no

アクセス許可ログを生成するかどうかを指定します。 yes または no を指定できます。

--reject_log="$bool"

yes

アクセス拒否ログを生成するかどうかを指定します。 yes または no を指定できます。

--max_audit_log="$number"

1024

/sys/kernel/security/tomoyo/audit インタフェースに保持しておくアクセスログ(許可ログ+拒否ログ)の件数の上限を指定します。 0 以上の整数値を指定できます。アクセスログが不要な場合には 0 を指定することができます。また、バイト数での上限を /sys/kernel/security/tomoyo/stat インタフェースから指定することもできます。

--max_learning_entry="$number"

2048

学習モードで動作中にカーネルが自動的に追加することができるアクセス許可の件数の上限を指定します。 0 以上の整数値を指定できます。 0 を指定すると学習モードは確認モードと同様に振舞うようになります。バイト数での上限を /sys/kernel/security/tomoyo/stat インタフェースから指定することもできます。

もし --file-only-profile オプションを指定せずに /usr/lib/tomoyo/init_policy を実行した場合、 /etc/tomoyo/profile.conf の CONFIG 行は以下のようになります:

0-COMMENT=-----Disabled Mode-----
0-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
0-CONFIG={ mode=disabled grant_log=no reject_log=yes }
1-COMMENT=-----Learning Mode-----
1-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
1-CONFIG={ mode=learning grant_log=no reject_log=yes }
2-COMMENT=-----Permissive Mode-----
2-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
2-CONFIG={ mode=permissive grant_log=no reject_log=yes }
3-COMMENT=-----Enforcing Mode-----
3-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
3-CONFIG={ mode=enforcing grant_log=no reject_log=yes }

もし /usr/lib/tomoyo/init_policy --file-only-profile のように実行した場合、 /etc/tomoyo/profile.conf の CONFIG 行は以下のようになります:

0-COMMENT=-----Disabled Mode-----
0-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
0-CONFIG::file={ mode=disabled grant_log=no reject_log=yes }
1-COMMENT=-----Learning Mode-----
1-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
1-CONFIG::file={ mode=learning grant_log=no reject_log=yes }
2-COMMENT=-----Permissive Mode-----
2-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
2-CONFIG::file={ mode=permissive grant_log=no reject_log=yes }
3-COMMENT=-----Enforcing Mode-----
3-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
3-CONFIG::file={ mode=enforcing grant_log=no reject_log=yes }

9.2. プロファイルの構文

9.2.1. 書式

各プロファイルには3種類の行が存在します:

名前

内容

COMMENT

プロファイルの内容を説明するための1行コメント。

CONFIG

アクセス制御モードの設定。

PREFERENCE

様々なオプションの設定。

9.2.2. CONFIG 行

CONFIG 行では以下のオプションを指定できます:

オプション

デフォルト

内容

grant_log="$bool"

no

アクセス許可ログを生成するかどうかを指定します。 yes または no を指定できます。

reject_log="$bool"

yes

アクセス拒否ログを生成するかどうかを指定します。 yes または no を指定できます。

mode

disabled

アクセス制御モードを指定します。以下の表を参照してください。

CONFIG 行の mode パラメータは以下の値を指定できます:

意味

disabled

無効。通常のカーネルと同様に動作する。

learning

学習モード。アクセス要求がポリシーに違反しても拒否しない。アクセス要求をポリシーへ追加する。

permissive

確認モード。アクセス要求がポリシーに違反しても拒否しない。アクセス要求をポリシーへ追加しない。

enforcing

強制モード。アクセス要求がポリシーに違反したら拒否する。アクセス要求をポリシーへ追加しない。

デフォルトでは CONFIG 行に全てのカテゴリの全ての機能についてのアクセス制御モードの設定が行われます。 CONFIG 行が指定されていない場合、 mode=disabled が指定されたものとして解釈されます。ただし、カテゴリを指定した CONFIG 行を指定することにより、デフォルトの設定を上書きすることができます:

名前

アクセス制御モードが設定される範囲

CONFIG

全ての機能

CONFIG::file

ファイルに関する操作のみ

CONFIG::misc

その他の操作のみ

CONFIG::network

ネットワークに関する操作のみ

例えば、ファイルとネットワークに関する操作のみを制限するプロファイルをプロファイル番号 4 として作成する場合、以下のように指定します:

4-COMMENT=-----Enforcing file and network-----
4-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
4-CONFIG::file={ mode=enforcing grant_log=no reject_log=yes }
4-CONFIG::network={ mode=enforcing grant_log=no reject_log=yes }

また、1つのプロファイルの中で複数のアクセス制御モードを組み合わせることも可能です。例えば、ネットワークに関する操作には強制モードを適用しつつ、ファイルに関する操作には学習モードを適用するということができます:

5-COMMENT=-----Learning file and Enforcing network-----
5-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
5-CONFIG::file={ mode=learning grant_log=no reject_log=yes }
5-CONFIG::network={ mode=enforcing grant_log=no reject_log=yes }

カテゴリ単位の設定は、機能単位の設定により上書きすることができます:

名前

アクセス制御モードが設定される範囲

CONFIG::file::execute

プログラムの実行およびドメイン遷移

CONFIG::file::open

読み込みまたは書き込みモードでのファイルのオープン

CONFIG::file::create

ファイルの作成

CONFIG::file::unlink

ファイルの削除

CONFIG::file::mkdir

ディレクトリの作成

CONFIG::file::rmdir

ディレクトリの削除

CONFIG::file::mkfifo

名前付きパイプの作成

CONFIG::file::mksock

UNIXドメインソケットの作成

CONFIG::file::truncate

ファイルの切り詰め

CONFIG::file::symlink

シンボリックリンクの作成

CONFIG::file::mkblock

ブロック型デバイスファイルの作成

CONFIG::file::mkchar

キャラクタ型デバイスファイルの作成

CONFIG::file::link

ハードリンクの作成

CONFIG::file::rename

ファイルやディレクトリの名前の変更

CONFIG::file::chmod

ファイルやディレクトリのモードの変更

CONFIG::file::chown

ファイルやディレクトリの所有者の変更

CONFIG::file::chgrp

ファイルやディレクトリのグループの変更

CONFIG::file::ioctl

IOCTL の使用

CONFIG::file::chroot

ルートディレクトリの変更

CONFIG::file::mount

マウント

CONFIG::file::unmount

アンマウント

CONFIG::file::pivot_root

ルートディレクトリの交換

CONFIG::network::inet_dgram_bind

UDP ソケットが使用するローカルアドレス

CONFIG::network::inet_dgram_send

UDP ソケットが送信時に使用するリモートアドレス

CONFIG::network::inet_stream_bind

TCP ソケットの bind() 操作

CONFIG::network::inet_stream_listen

TCP ソケットの listen() 操作

CONFIG::network::inet_stream_connect

TCP ソケットの connect() 操作

CONFIG::network::inet_raw_bind

RAW ソケットが使用するローカルアドレス

CONFIG::network::inet_raw_send

RAW ソケットが送信時に使用するリモートアドレス

CONFIG::network::unix_dgram_bind

同一ホスト内でのデータグラムソケットが使用するローカルアドレス

CONFIG::network::unix_dgram_send

同一ホスト内でのデータグラムソケットが送信してよいリモートアドレス

CONFIG::network::unix_stream_bind

同一ホスト内でのストリームソケットが使用するローカルアドレス

CONFIG::network::unix_stream_listen

同一ホスト内でのストリームソケットが待ち受けするローカルアドレス

CONFIG::network::unix_stream_connect

同一ホスト内でのストリームソケットが接続するリモートアドレス

CONFIG::network::unix_seqpacket_bind

同一ホスト内での SEQPACKET ソケットが使用するローカルアドレス

CONFIG::network::unix_seqpacket_listen

同一ホスト内での SEQPACKET ソケットが待ち受けするローカルアドレス

CONFIG::network::unix_seqpacket_connect

同一ホスト内での SEQPACKET ソケットが接続するリモートアドレス

CONFIG::misc::env

プログラム実行時の環境変数名

例えば、プログラムの実行のみを制限するプロファイルは以下のように指定できます:

6-COMMENT=-----Enforcing file::execute only-----
6-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
6-CONFIG::file::execute={ mode=enforcing grant_log=no reject_log=yes }

パフォーマンス上の理由から、ファイルやディレクトリの属性を取得する操作だけを無効モードにしながら、その他のファイルに関する操作は強制モードにするというプロファイルを作成することもできます:

7-COMMENT=-----Enforcing file operations without getattr-----
7-PREFERENCE={ max_audit_log=1024 max_learning_entry=2048 }
7-CONFIG::file={ mode=enforcing grant_log=no reject_log=yes }
7-CONFIG::file::getattr={ mode=disabled grant_log=no reject_log=yes }

CONFIG::file::getattr 行は CONFIG::file 行の設定を上書きすることに注目してください。また、 CONFIG::file 行は CONFIG 行の設定(指定されていないので mode=disabled として解釈されます)を上書きすることに注目してください。このように指定することで、アクセスを制限したい操作だけを制限する詳細なプロファイルを定義することができます。

9.2.3. PREFERENCE 行

PREFERENCE 行では以下のオプションを指定できます:

名前

内容

max_audit_log

/sys/kernel/security/tomoyo/audit インタフェースに保持しておくアクセスログ(許可ログ+拒否ログ)の件数の上限を指定します。 0 以上の整数値を指定できます。アクセスログが不要な場合には 0 を指定することができます。また、バイト数での上限を /sys/kernel/security/tomoyo/stat インタフェースから指定することもできます。

max_learning_entry

学習モードで動作中にカーネルが自動的に追加することができるアクセス許可の件数の上限を指定します。 0 以上の整数値を指定できます。 0 を指定すると学習モードは確認モードと同様に振舞うようになります。バイト数での上限を /sys/kernel/security/tomoyo/stat インタフェースから指定することもできます。