follow me

AKARI 1.0.5導入(Zenwalk 6.4 Core)

TOMOYOに良く似たセキュリティモジュール AKARI を試してみよう。
Kernelを作り直さず利用できるのが利点でもあるのだが、普段愛用しているSlackware系では、Kernelのconfigの関係からそのままでは利用できず。
とりあえず、Kernelの作り直しからやってみました。
環境は、Slackware 13.1相当環境のZenwalk 6.4 Coreを利用しています。Slackware 13.1でも同等の方法で導入可能と思われます。

◆ステップ1:カーネルモジュールのインストール
Kernelソース入手。Slackwareのソースを入手を入手します。ZenwalkのFTPでは、ソース本体はSlackwareからダウンロードしろとなっている様子。
# cd /usr/src
# xzcat linux-2.6.33.4.tar.xz | tar -xf -
# cd linux-2.6.33.4
# make menuconfig
Zenwalk標準のConfigでは、AKARIを利用するにはオプションが足りない為、必要な項目を有効に変更します。
変更項目は以下の2つです。
CONFIG_KALLSYMS=y
CONFIG_SECURITY=y
follow me

一時間で覚える?TOMOYO Linux

TOMOYO Linux実際に一時間で覚えられるかどうかはさておき、一時間でなんとなく使えた気になれる最低限の項目だけに絞ってみました。
環境は個人的にSlackware好きなので、Slackware13.0です。
TOMOYO 1.7.2を利用。
(CentOSとかは本家サイトで詳しく書いてるので要らないとか思ってる人です。)
おそらく、一時間で使える気分にはなれるはずです。

follow me

TOMOYO 1.7.2 Kernel on Slackware 13.0

TOMOYO Linux久々にTOMOYO Linuxです。
もちろん、1.x系のパッチ側です。
2.x系のLSMは、メインラインに入っているので使用はラクなのですが、LSMによる機能制限が多いので。。。
Slackware 13.0では、2.6.29.6用のパッチで問題なく適用可能です。

せっかくなのでパッケージ化しました。(普通に手配置でもいいけど、パッケージ化した方が手軽感)
パッケージ導入時にliloは実行しない設定にしているので、lilo実行をお忘れなく。
モジュール系については、Slackware 13.0標準パッケージのモノをそのまま流用できるようにしています。
ccs-toolsは、別途導入してください。

■genericベース
kernel-tomoyo-2.6.29.6-i486-1.txz
kernel-tomoyo.SlackBuild
slack-desc
■hugeベース
kernel-tomoyo-2.6.29.6-i486-1.txz
kernel-tomoyo.SlackBuild
slack-desc
follow me

Kernel 2.6.30

TOMOYO Linuxかなり情報出遅れですが。。。
Kernel 2.6.30でTOMOYOが入っていますね。(いまさらソース落としてきました。。。
メインライン化おめでとうございます。

で、一点注意がメインライン化されたのはLSM版な為、tomoyo 1.x系の全機能が搭載されていません。
メインライン化にはしかたの無い事ですが、とりあえず私は1.x系をそのまま使いますか。。。
LSM版とパッチ版の違いは、TOMOYO-LSMに記載があります。
ん。。。やっぱりパッチ版がイィ。。。

follow me

SlackwareでTOMOYO

TOMOYO LinuxSlackware 12.0でのTOMOYO 1.5.3導入方法のメモです。
久々にTOMOYO触りました。
かなり前に触った時より使いやすくなってる感じです。
何気にSlackware用のパッケージが無い様なので、そのうち作りますかw

なぜ急に更新の止まっていたsrchack.orgが更新されたのか?
後輩にかなり置いて行かれている事に気がついたので。。。
仕事が忙しいから?理由にならないね。そんなの。
すぐに追いついてやるからね。

■カーネルビルド設定をSlackwareに合わせる
# cd /usr/src/linux
# cp -p .config  .config.ORG
# cp -p /boot/config ./.config

■Kernelパッチ適用
一箇所、バージョン記載の行で失敗してしまいます。
# cd /usr/src/linux
# tar zxf ccs-patch-1.5.3-20080131.tar.gz

# patch -sp1 < patches/ccs-patch-2.6.21.diff
1 out of 1 hunk FAILED -- saving rejects to file Makefile.rej

■Makefile編集(パッチミスマッチ分)
EXTRAVERSIONの行を書き換えます。
# head Makefile
 VERSION = 2
 PATCHLEVEL = 6
 SUBLEVEL = 21
+EXTRAVERSION = -ccs

■Kernelコンフィグ
# make menuconfig
変更箇所は以下。
「File systems」
    * [*] SAKURA (Domain-Free Mandatory Access Control) support
    * [*] TOMOYO (Domain-Based Mandatory Access Control) support
    *  SYAORAN (Tamper-Proof Device Filesystem) support 

■Kernelビルド LILOをLBA対応モードで実行してくれないので、失敗します。
# make
# make modules
  CHK     include/linux/version.h
  CHK     include/linux/utsrelease.h
  Building modules, stage 2.
  MODPOST 1592 modules

# make modules_install
# make install
sh /usr/src/linux-2.6.21.5/arch/i386/boot/install.sh 2.6.21.5-ccs-smp arch/i386/boot/bzImage System.map "/boot"
Warning: LBA32 addressing assumed
Added Linux *
One warning was issued.

■LILOをLBA32対応モードで入れ直し
面倒ですが、LILOをLBA対応モードで実行しなおします。
もちろん、lilo.conf書き換えます。(書き換え内容は省略)
# lilo -L


■TOMOYO Toolsのビルド
# tar zxf ccs-tools-1.5.3-20080131.tar.gz

# make all
# make install

■TOMOYO Toolsのパス環境変数追加 Slackwareでは、~/.profileを呼んでないみたいなので、以下で対応してみました。
~/.profileを読む様に、改良した方が良いかも知れませんが、少し手抜きです。
# vi /etc/profile
-----追記-----
# TOMOYO Linux
if [ "`id -u`" = "0" ]; then
  echo $PATH | grep /usr/lib/ccs 1> /dev/null 2> /dev/null
  if [ ! $? = 0 ]; then
    PATH=$PATH:/usr/lib/ccs
  fi
fi
--------------

■TOMOYO Toolsのパス環境変数反映
再ログインし、問題ないか確認。

■ポリシーの作成
# /usr/lib/ccs/init_policy.sh
Creating policy directory.
Creating manager policy.
Creating default profile.
Creating exception policy. This will take several minutes.
which: no spamd in (/usr/lib/ccs:/sbin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/usr/games:/usr/lib/ccs)
which: no mail in (/usr/lib/ccs:/sbin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/usr/games:/usr/lib/ccs)
which: no gpm in (/usr/lib/ccs:/sbin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/usr/games:/usr/lib/ccs)
which: no logwatch in (/usr/lib/ccs:/sbin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/usr/games:/usr/lib/ccs)
which: no cardmgr in (/usr/lib/ccs:/sbin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/usr/games:/usr/lib/ccs)
which: no anacron in (/usr/lib/ccs:/sbin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/usr/games:/usr/lib/ccs)
Creating system policy.
Creating domain policy.

■TOMOYO Kernelで起動
# reboot

TOMOYO Linuxが起動します。
コレで、SlackwareのTOMOYO対応完了です。

TOMOYOの準備は完了したので、次回から実際に触っていきます。
follow me

ccstoolsパッケージ(CentOS 4.3用)

TOMOYO Linuxccstoolsパッケージ作ってみました。
用意した環境がCentOS 4.3だったので、そちらのrpmをアップします。
specファイルはあまり書かないので、ちと汚いですが、書いたspecファイルも一緒にアップしますので、別環境でもrpm化しちゃってください。

ccs-tools.spec
ccs-tools-1.1.2-20060602.i386.rpm
ccs-tools-1.1.2-20060602.src.rpm

TOMOYOってどんな方が利用してるんでしょうか。う~ん、気になる。
follow me

ccstoolsパッケージ(Debian用)

TOMOYO Linux先日アップした物が出来損ないだったため
TOMOYOポリシー設定ツール「ccstools」を再パッケージ化しました。

TOMOYOのページで配布されているtar玉を展開するのもいいですが、カーネルをパッケージから導入している場合、ついでにツールもパッケージで導入するのはいかがでしょうか。
Debianらしくapt-getとはいきませんが、良いaptitude生活をw

aptitude使ってません?dselect派ですか。。。

ccs-tools_1.1.2-20060602_i386.deb
follow me

TOMOYOカーネル Debianパッケージ

TOMOYO LinuxLinuxをセキュアにするためのモジュール、SELinuxがは流行っているようですが。
同様な物として「TOMOYO」と呼ばれるものが存在しています。
まだ、はじめたばかりなので詳しくは判りませんが、「SELinux」や「LIDS」等より直感的に判りやすい様に感じます。
難点は「SELinux」「LIDS」に比べ資料が少ない事でしょうか。

自分的には「TOMOYO」が気に入ったので、カリカリいじって行く予定です。
「TOMOYO」がオープンで公開されていることに感謝します。

まずは、配布されているDebian用にパッケージではうまく起動しなかったので、自分で作成しましたのでアップします。

kernel-image-2.4.27-10sarge2-ccs-i586_20060602_i386.deb
ccs-tools-1.1.2_20060602-1_i386.deb

i586用にカーネルを作成していますので、ほとんどの環境で動作すると思われます。
もし、i386で動かしたい強者がおられましたら、申し訳ございません。