/sys/kernel/security/tomoyo/ インタフェース
/sys/kernel/security/tomoyo/audit
この読み込み専用インタフェースは、アクセスログを保持しています。読み出すべきアクセスログが存在しない場合にはすぐに戻ります。アクセスログが発生するまで待つには select(2) を使用してください。
このインタフェースは、プロファイルが /sys/kernel/security/tomoyo/profile でどのように設定されているかに依存します。以下のプロファイルのオプションが影響します:
- grant_log
- reject_log
- max_audit_log
また、 /sys/kernel/security/tomoyo/stat で指定可能な、アクセスログのために割り当てるメモリ上限の指定の影響も受けます。
このインタフェースは、主に tomoyo-auditd が利用します。
/sys/kernel/security/tomoyo/domain_policy
この読み書きインタフェースは、ドメインポリシーを保持しています。 <kernel> から始まる行がドメインの定義であり、その後そのドメインに与えられるアクセス許可の内容が続きます。
対応する設定ファイルは /etc/tomoyo/domain_policy.conf です。
このインタフェースは、主に tomoyo-editpolicy tomoyo-loadpolicy および tomoyo-savepolicy が利用します。
/sys/kernel/security/tomoyo/exception_policy
この読み書きインタフェースは、例外ポリシーを保持しています。行の間に関連はありません。
対応する設定ファイルは /etc/tomoyo/exception_policy.conf です。
このインタフェースは、主に tomoyo-editpolicy tomoyo-loadpolicy および tomoyo-savepolicy が利用します。
/sys/kernel/security/tomoyo/manager
この読み書きインタフェースは、 /sys/kernel/security/tomoyo/ インタフェースを経由して設定を変更することができるドメイン名およびプログラムのパス名を保持しています。
例外として、以下のインタフェースは全てのドメインから書き込みを行うことができます。
- プロセスの情報を取得するための /sys/kernel/security/tomoyo/.process_status
- 特定のドメインあるいは特定のプロセスIDの属するドメインのアクセス許可だけを選択するための /sys/kernel/security/tomoyo/domain_policy
- 自分のドメインを変更するための /sys/kernel/security/tomoyo/self_domain
対応する設定ファイルは /etc/tomoyo/manager.conf です。
このインタフェースは、主に tomoyo-editpolicy tomoyo-loadpolicy および tomoyo-savepolicy が利用します。
# cat /sys/kernel/security/tomoyo/manager
/usr/sbin/tomoyo-loadpolicy /usr/sbin/tomoyo-editpolicy /usr/sbin/tomoyo-setlevel /usr/sbin/tomoyo-setprofile /usr/sbin/tomoyo-queryd
/sys/kernel/security/tomoyo/profile
この読み書きインタフェースは、プロファイルの設定を保持しています。
対応する設定ファイルは /etc/tomoyo/profile.conf です。
このインタフェースは、主に tomoyo-editpolicy tomoyo-loadpolicy tomoyo-savepolicy および tomoyo-setlevel が利用します。
/sys/kernel/security/tomoyo/query
この読み書きインタフェースは、強制モード用のプロファイルが割り当てられているドメインで発生したポリシーに違反するアクセス要求を許可するか拒否するかを伝えるために使用します。
このインタフェースは、主に tomoyo-queryd が利用します。
/sys/kernel/security/tomoyo/self_domain
この読み書きインタフェースは、呼び出し元プロセスが属しているドメイン名を保持しています。
このインタフェースに対して task manual_domain_transition ディレクティブで指定されているドメイン名を書き込むことにより、そのドメインへと遷移することができます。
/sys/kernel/security/tomoyo/stat
この読み書きインタフェースは、ポリシー違反の発生状況とバイト単位のメモリ使用状況を保持しています。
# cat /sys/kernel/security/tomoyo/stat
Policy update: 172 (Last: 2011/02/03 18:03:01) Policy violation in learning mode: 0 Policy violation in permissive mode: 0 Policy violation in enforcing mode: 0 Memory used by policy: 41792 Memory used by audit log: 159328 Memory used by query message: 0 Total memory used: 201120
- Policy update はポリシーがアップデートされた回数と最後にアップデートされた時刻を示しています。
- Policy violation in learning mode は学習モードでのポリシー違反の発生回数と最後に発生した時刻を示しています。
- Policy violation in permissive mode は確認モードでのポリシー違反の発生回数と最後に発生した時刻を示しています。
- Policy violation in enforcing mode は強制モードでのポリシー違反の発生回数と最後に発生した時刻を示しています。
- Memory used by policy はアクセス許可を保持しておくために使われているメモリの量です。
- Memory used by audit log はアクセスログを保持しておくために使われているメモリの量です。
- Memory used by query message は管理者の判断を待っているアクセス要求を保持しておくために使われているメモリの量です。
- Total memory used は使用しているメモリの合計です。
このインタフェースは、メモリ使用量の上限を設定することが可能です。
対応する設定ファイルは /etc/tomoyo/stat.conf です。
このインタフェースは、主に tomoyo-editpolicy tomoyo-loadpolicy および tomoyo-savepolicy が利用します。
/sys/kernel/security/tomoyo/version
この読み込み専用インタフェースは、現在実行中の TOMOYO Linux のバージョンを保持しています。
/sys/kernel/security/tomoyo/.process_status
この読み書きインタフェースは、現在動作中のプロセスが属しているドメイン名とそのドメインに割り当てられているプロファイル番号を保持しています。
このインタフェースは、主に tomoyo-pstree が利用します。