OpenZaurusでTOMOYOーLinuxを使ってみる

TOMOYO-Linuxについてはこちら参照
http://tomoyo.sourceforge.jp/
http://sourceforge.jp/projects/tomoyo/

1.1.3から組み込み向け（SymLink問題）の対応がなされたので、お勧め。
OpenZaurusでもドメインPolicyの定義が容易になりそうです（詳細後日）

OpenZaurus（OZ）に移植するにはいくつかの問題？がある
1. KernelのCommand line
LinuxZaurusの場合これは固定で.config指定する。危険
2. Enforcement Modeのコントロール
TOMOYOの場合、KernelのCommand lineで間接的にファイルを指定する。
なので、このファイルを入れ替える方法も考えられる。ただ、間違ってしまうと面倒なので、OZはデバッグ用ということで、kexecを使ったRebootによる、動作モードの切り替えを試みる。この方法のメリットはLIDSなどにも簡単に切り替えられる事なので、色々なMACのテストをOZで行うには都合が良い（セキュリティ的にはkexecは無効化するべきなので、本番では注意）
3. 設定、Policyのおき場所
標準では /root/security で
/root/security/status.txt
/root/security/manager.txt
/root/security/domain_policy.txt
/root/security/exception_policy.txt
/root/security/profile0.txt
/root/security/profile1.txt
/root/security/system_policy.txt

でハードコードされている、OZには/rootが無かったりもするので、他のMACの場合も考えるとKconfigが何かで変更が出来ると嬉しい。とりあえず なぜかOZのInstallがうまく制御できないので LIDSにあわせて？ /etc/ccs に変更することにする。
また、CCSの各種コマンドは/sbinに導入することにする。

Build

OZの場合ユーザーランドとKernelのBBファイルを作ればよい。
Policyのおき場所を変更する場合
fs/ccs_common.c　でのハードコードを修正
あと、CONFIGを設定
ccstoolsのクロスコンパイルは
Makefileのgccを$(CC) あと $(LDFLAGS)を適時追加
IPKGのInstall時、ついでにPolicyも導入出来るように修正してみる

Kexecにより切り替え

kexecの使い方はまた別途

by munetoh | 2006-07-10 08:53 | OpenZaurus