TOMOYO Linux の主な設定ファイルおよび管理コマンドは以下の通りです。
表 24-1. 関連ファイル
| /etc/ccs/profile.conf | プロファイルの設定ファイル |
| /etc/ccs/manager.conf | ポリシーの変更を許可するプログラムの設定ファイル |
| /etc/ccs/exception_policy.conf | 例外ポリシー定義ファイル |
| /etc/ccs/system_policy.conf | システム全体に適用されるポリシー定義ファイル |
| /etc/ccs/domain_policy.conf | ドメインごとに適用されるポリシー定義ファイル |
| /usr/lib/ccs/ccs-auditd | ログ記録デーモン |
| /usr/lib/ccs/setprofile | プロファイルを切り替えるコマンド |
| /usr/lib/ccs/editpolicy | ポリシー定義の参照と編集 |
| /usr/lib/ccs/savepolicy | ポリシー定義の保存 |
プロファイルの設定ファイルは、/etc/ccs/profile.conf です。TOMOYO Linux の多くの機能の有効/無効はプロファイル単位に切り替えることが可能です。あらかじめ複数のプロファイルを設定しておいてこれらを切り替えて利用します。項24.4.1 の通り、init_policy.sh を実行した直後の内容は以下の通りです。
0-COMMENT=-----Disabled Mode----- 0-MAC_FOR_FILE=0 0-TOMOYO_VERBOSE=0 1-COMMENT=-----Learning Mode----- 1-MAC_FOR_FILE=1 1-TOMOYO_VERBOSE=0 2-COMMENT=-----Permissive Mode----- 2-MAC_FOR_FILE=2 2-TOMOYO_VERBOSE=1 3-COMMENT=-----Enforcing Mode----- 3-MAC_FOR_FILE=3 3-TOMOYO_VERBOSE=1 |
profile.conf の設定書式は以下の通りです。
Profile 番号 - 設定項目 = 制御モード |
プロファイルを切り替える際に指定する番号です。
アクセス制御を行うための設定項目です。
設定項目に対する値です。
設定ファイルに記載されている設定項目およびその制御モードの値は以下の通りです。プロファイル 0 に切り替えるとアクセス制御は無効に、プロファイル 1 では、ファイルに対する制御は学習モードでコンソール出力なしに、プロファイル 2 では、アクセス制御が確認モードでコンソール出力あり、プロファイル 3 では、アクセス制御機能が強制モードでコンソール出力ありに設定されています。
ポリシーの変更を許可するプログラムを記述する設定ファイルです。項24.4.1 の通り、init_policy.sh を実行した直後の内容は以下の通りです。
/usr/lib/ccs/loadpolicy /usr/lib/ccs/editpolicy /usr/lib/ccs/setlevel /usr/lib/ccs/setprofile /usr/lib/ccs/ld-watch /usr/lib/ccs/ccs-queryd |
TOMOYO Linux の管理コマンドが登録されています。
アクセス制御の例外ポリシーを記述する設定ファイルです。項24.4.1 の通り、init_policy.sh を実行した直後は以下の 7 つの例外定義が記述されています。
プロセス ID(/proc/PID )のようなパス名のパターン化
すべてのプログラムに対して参照することを許可するパス名
デーモンとして動作させるプログラムのパス名
ドメイン遷移を行わないドメイン
追記を許可して書き換えを禁止するファイルのパス名
1 つに集約して扱うプログラムのパス名
シンボリックリンクの名前で実行するプログラムのパス名