TOMOYO

Fork

2007年4月1日、version 1.4をリリースしました。

今回のリリースの内容は下記の6点で、バグフィックスが
メインですが、一部仕様が変更になっており、
既存のポリシーについては対応が必要な場合がありますので
ご注意ください。

リリース内容

[1] 64ビットカーネルでの不具合の解消

 version 1.3.2で発見された64ビットカーネルで32ビット
プログラムを動作させた場合に一部のアクセス制御が行われ
ない（32ビットカーネルでは問題ありません）不具合を
解消しました。

[2] ポリシー構文の変更

一部名称変更を行い、不要となったものについて
本バージョンから廃止としました。また、pivot_root
関連について新規に追加しました。古い構文、廃止された
構文を使用するとエラーになりますが、その場合ポリシーを
修正の上ご利用ください。

名称変更：
　　MAX_ACCEPT_FILES → MAX_ACCEPT_ENTRY
　　DENY_PIVOT_ROOT → RESTRICT_PIVOT_ROOT
廃止：
　　MAC_FOR_BINDPORT
　　MAC_FOR_CONNECTPORT
　　TRACE_READONLY
追加：
　　MAC_FOR_CAPABILITY::SYS_PIVOT_ROOT

[3] #! 指定プログラムに対する読み込み権限の確認

スクリプトファイルについて、/bin/sh等#!のあとで
ファイルの実行を指定されたプログラムに対する
読み込み権限をチェックするようにしました。

例えば、bashスクリプトを実行する際には/bin/bashに
対する読み込み権限が与えられていなければエラーと
なります。既存のポリシーについては、ドメイン毎に
ポリシーの修正が必要となりますが、例外ポリシーの
allow_readで許可してしまうという対応も可能です
（その場合は注意の上ご使用ください）。

[4] editpolicy不具合対応、仕様変更

・ポリシーエディタで例外ポリシーにkeep_domain <kernel>という
　指定がされている場合に到達不能ドメイン（ ! マーク）の表示が
　正しくなかったという不具合を修正しました。
・Aキーで追加する時の入力履歴を画面毎ではなく全体で１つに
　しました。

[5] ccs_queryd変更

・「ポリシーに追加した上でアクセス要求を許可」する際に、
　必要に応じてポリシーを編集できるようにしました。

[6] address_group構文の導入

・ネットワークアドレスをグループ化できるようにaddress_groupと
　いう構文を導入しました。1.3.2 で導入されたpath_group構文と
　同様に、 IPv4/IPv6アドレスをまとめるために利用します。

主要ディストリビューションの導入手順書
　　http://tomoyo.sourceforge.jp/

version 1.4導入手順
　　http://tomoyo.sourceforge.jp/ja/1.4/install.html

version 1.4ポリシーリファレンス
　　http://tomoyo.sourceforge.jp/ja/1.4/policy-reference.html

1.4 versionを適用した2.6/2.4カーネルソースコードのブラウズ
　　http://tomoyo.sourceforge.jp/cgi-bin/lxr/source

その他
　　プロジェクトホームページよりご参照ください。
　　http://tomoyo.sourceforge.jp/

--
株式会社NTTデータ
原田季栄