2007年4月1日、version 1.4をリリースしました。 今回のリリースの内容は下記の6点で、バグフィックスが メインですが、一部仕様が変更になっており、 既存のポリシーについては対応が必要な場合がありますので ご注意ください。 リリース内容 [1] 64ビットカーネルでの不具合の解消 version 1.3.2で発見された64ビットカーネルで32ビット プログラムを動作させた場合に一部のアクセス制御が行われ ない(32ビットカーネルでは問題ありません)不具合を 解消しました。 [2] ポリシー構文の変更 一部名称変更を行い、不要となったものについて 本バージョンから廃止としました。また、pivot_root 関連について新規に追加しました。古い構文、廃止された 構文を使用するとエラーになりますが、その場合ポリシーを 修正の上ご利用ください。 名称変更: MAX_ACCEPT_FILES → MAX_ACCEPT_ENTRY DENY_PIVOT_ROOT → RESTRICT_PIVOT_ROOT 廃止: MAC_FOR_BINDPORT MAC_FOR_CONNECTPORT TRACE_READONLY 追加: MAC_FOR_CAPABILITY::SYS_PIVOT_ROOT [3] #! 指定プログラムに対する読み込み権限の確認 スクリプトファイルについて、/bin/sh等#!のあとで ファイルの実行を指定されたプログラムに対する 読み込み権限をチェックするようにしました。 例えば、bashスクリプトを実行する際には/bin/bashに 対する読み込み権限が与えられていなければエラーと なります。既存のポリシーについては、ドメイン毎に ポリシーの修正が必要となりますが、例外ポリシーの allow_readで許可してしまうという対応も可能です (その場合は注意の上ご使用ください)。 [4] editpolicy不具合対応、仕様変更 ・ポリシーエディタで例外ポリシーにkeep_domain <kernel>という 指定がされている場合に到達不能ドメイン( ! マーク)の表示が 正しくなかったという不具合を修正しました。 ・Aキーで追加する時の入力履歴を画面毎ではなく全体で1つに しました。 [5] ccs_queryd変更 ・「ポリシーに追加した上でアクセス要求を許可」する際に、 必要に応じてポリシーを編集できるようにしました。 [6] address_group構文の導入 ・ネットワークアドレスをグループ化できるようにaddress_groupと いう構文を導入しました。1.3.2 で導入されたpath_group構文と 同様に、 IPv4/IPv6アドレスをまとめるために利用します。 主要ディストリビューションの導入手順書 http://tomoyo.sourceforge.jp/ version 1.4導入手順 http://tomoyo.sourceforge.jp/ja/1.4/install.html version 1.4ポリシーリファレンス http://tomoyo.sourceforge.jp/ja/1.4/policy-reference.html 1.4 versionを適用した2.6/2.4カーネルソースコードのブラウズ http://tomoyo.sourceforge.jp/cgi-bin/lxr/source その他 プロジェクトホームページよりご参照ください。 http://tomoyo.sourceforge.jp/ -- 株式会社NTTデータ 原田季栄