 |
|
| 初体験 TOMOYO Linux! |
第2回:TOMOYO Linuxの導入とアクセス制御を初体験
著者:NTTデータ 武田 健太郎 2007/6/26
|
|
|
| 前のページ 1 2 3 4 次のページ
|
|
| TOMOYO Linuxツールのインストール
|
続いて、TOMOYO Linuxを操作するためのツール群をインストールします。CentOS 5用のツール群は、/rootディレクトリで以下のコマンドを実行することでインストールできます。
wget http://osdn.dl.sourceforge.jp/tomoyo/25544/ccs-tools-1.4.1-i386-CentOS5.tar.gz
tar zxvf ccs-tools-1.4.1-i386-CentOS5.tar.gz
この操作で「/root/ccstools」というディレクトリにTOMOYO Linuxのツール群がインストールされます。この中で「.init」というツールはLinuxの起動時に参照するため、以下のコマンドを実行し、ルートディレクトリに移動しておきます。
mv /root/ccstools/.init /
また、今後の操作を行いやすくするため「/root/ccstools」にパスを通しておきましょう。bashを使用している場合にパスを通すには「/root/.bashrc」に以下の行を追加します。
export PATH=$PATH:/root/ccstools
|
| 基本的な設定
|
以上でインストール作業自体は完了ですが、TOMOYO Linuxを使用するには、あらかじめいくつかの設定ファイルを作成しておく必要があります。先ほどインストールしたツールの中に設定を自動生成するツールが含まれているのでそれを利用します。このツールは以下のコマンドで実行できますが、作業終了まで数分程度時間がかかる場合がありますので気長にお待ちください。
/root/ccstools/init_policy.sh --file-only-profile
環境によってはツールから呼ばれるfindやwhichコマンドの実行でエラーが発生しますが、通常は問題ありません。これで/etc/ccsというディレクトリにTOMOYO Linuxを使用するための基本的な設定ファイルが作成されます。詳細な設定については、TOMOYO Linuxポリシー解説書をご覧ください。
以上でTOMOYO Linuxを使用する環境は整いました。
|
| TOMOYO Linuxカーネルで起動してみる
|
いよいよTOMOYO Linuxカーネルでシステムを起動してみましょう。まずはLinuxを再起動してください。起動がはじまるとすぐに、以下の画面が表示されます。
図1:カーネルの選択画面 (画像をクリックすると別ウィンドウに拡大図を表示します)
この画面が表示されたら、先ほどの手順でインストールしたTOMOYO Linuxカーネルを選択し、Enterキーを押してください。しばらく待つと、通常のLinuxと同様に起動処理が行われ、以下のようにログインプロンプトが表示されます。
図2:ログインプロンプト
ログインプロンプトの上にはカーネルの名前が入りますが、ここに「tomoyo」の名前が含まれていればTOMOYO Linuxカーネルでの起動は成功です。
|
| 体験の前に
|
実際にTOMOYO Linuxの動作を体験する前に、2つだけ用語を紹介します。
|
| プロファイル
|
プロファイルとは、アクセス制御のモードのことです。先ほど実行したinit_policy.shにより、以下の4種類が/etc/ccs/status.txtというファイルにすでに生成されています。
- プロファイル0:無効(TOMOYO Linuxがアクセスを監視せず、通常のLinuxと同様に動作する)
- プロファイル1:学習(TOMOYO Linuxがアクセスを監視し、ポリシーに記述されていないアクセスは許可した上で自動的にポリシーに追加する)
- プロファイル2:確認(TOMOYO Linuxがアクセスを監視し、ポリシーに記述されていないアクセスは許可した上でログを出力する)
- プロファイル3:強制(TOMOYO Linuxがアクセスを監視し、ポリシーに記述されていないアクセスは拒否した上でログを出力する)
表1:TOMOYO Linuxのアクセス制御モード
|
| ドメイン
|
ドメインとは、アクセス制御の単位です。TOMOYO Linuxではすべてのプロセスがいずれか1つのドメインに所属しており、そのドメインに割り当てられたプロファイルにしたがって、アクセスを学習したり拒否したりします。TOMOYO Linuxでは、プロセスがどのプロセスから起動されたか、という「プロセスの実行履歴」で、ドメインを表現します。
TOMOYO Linuxを使用するには、まずはアクセス制御対象のドメインに学習プロファイルを割り当て、適当な操作を実際に行ってポリシーを学習させます。その後確認プロファイルを割り当ててポリシーに不足がないかを確認し、最後に強制プロファイルを割り当てて実際に運用します。
|
前のページ 1 2 3 4 次のページ
|
|
|
|
|
著者プロフィール
株式会社NTTデータ 武田 健太郎
平成18年よりTOMOYO Linuxプロジェクトに参加。TOMOYO Linuxのプロモーション活動と、Linux標準セキュリティフレームワークであるLSMに対応したTOMOYO Linux 2.0系統の開発を主に行っている。
|
|
|
|
|
|
