God is in the details

details.exblog.jp
ブログトップ
2006年 07月 10日

OpenZaurusでTOMOYOーLinuxを使ってみる

TOMOYO-Linuxについてはこちら参照
http://tomoyo.sourceforge.jp/
http://sourceforge.jp/projects/tomoyo/

1.1.3から組み込み向け(SymLink問題)の対応がなされたので、お勧め。
OpenZaurusでもドメインPolicyの定義が容易になりそうです(詳細後日)

OpenZaurus(OZ)に移植するにはいくつかの問題?がある
1. KernelのCommand line
LinuxZaurusの場合これは固定で.config指定する。危険
2. Enforcement Modeのコントロール
TOMOYOの場合、KernelのCommand lineで間接的にファイルを指定する。
なので、このファイルを入れ替える方法も考えられる。ただ、間違ってしまうと面倒なので、OZはデバッグ用ということで、kexecを使ったRebootによる、動作モードの切り替えを試みる。この方法のメリットはLIDSなどにも簡単に切り替えられる事なので、色々なMACのテストをOZで行うには都合が良い(セキュリティ的にはkexecは無効化するべきなので、本番では注意)
3. 設定、Policyのおき場所
標準では /root/security で
/root/security/status.txt
/root/security/manager.txt
/root/security/domain_policy.txt
/root/security/exception_policy.txt
/root/security/profile0.txt
/root/security/profile1.txt
/root/security/system_policy.txt

でハードコードされている、OZには/rootが無かったりもするので、他のMACの場合も考えるとKconfigが何かで変更が出来ると嬉しい。とりあえず なぜかOZのInstallがうまく制御できないので LIDSにあわせて? /etc/ccs に変更することにする。
また、CCSの各種コマンドは/sbinに導入することにする。

Build

OZの場合ユーザーランドとKernelのBBファイルを作ればよい。
Policyのおき場所を変更する場合
fs/ccs_common.c でのハードコードを修正
あと、CONFIGを設定
ccstoolsのクロスコンパイルは
Makefileのgccを$(CC) あと $(LDFLAGS)を適時追加
IPKGのInstall時、ついでにPolicyも導入出来るように修正してみる

Kexecにより切り替え

kexecの使い方はまた別途
[PR]

by munetoh | 2006-07-10 08:53 | OpenZaurus


<< LinuzZaurusのNAN...      Secure Linuxの性能評価 >>