24.4. ポリシー管理ツール(ccs-tools)のインストールと初期設定

24.4.1. ポリシー管理ツール(ccs-tools)のインストール

Turbolinux 11 Server のカーネルはデフォルトで TOMOYO Linux の使用が可能な状態になっています。実際に TOMOYO Linux を利用するには次のように管理ツール(ccs-tools)のインストールを行う必要があります。

Turbolinux 11 Server の「オプショナルCD」を CD-ROM ドライブに挿入しマウントします。

# mount /mnt/cdrom
# cd /mnt/cdrm/turbo/RPMS
# rpm -Uvh ccs-tools-1.5.0-1.xxx.rpm
準備中...                ########################################### [100%]
   1:ccs-tools              ########################################### [100%]
# cd 
# umount /mnt/cdrom

/usr/lib/ccs へのパスを通します。

# echo 'export PATH=$PATH:/usr/lib/ccs' >> ~/.bashrc
# source ~/.bashrc

TOMOYO Linux の起動に必要な設定ファイルを自動作成するスクリプトが用意されています。次のように実行します。引数に指定されている“--file-only-profile”はファイルに関するアクセス制御機能のみを利用するという意味です。

# init_policy.sh --file-only-profile
Creating policy directory.
Creating manager policy.
Creating default profile.
Creating exception policy. This will take several minutes.
which: no automount in (/usr/lib/ccs:/sbin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin:/usr/lib/qt3/bin:/usr/lib/ccs)
which: no logwatch in (/usr/lib/ccs:/sbin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin:/usr/lib/qt3/bin:/usr/lib/ccs)
which: no anacron in (/usr/lib/ccs:/sbin:/bin:/usr/local/sbin:/usr/sbin:/sbin:/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin:/usr/lib/qt3/bin:/usr/lib/ccs)

ティップ

環境にもよりますが 10 分程度の時間を要する場合もあります。プロンプトが表示されるまでそのままお待ちください。

正常終了後には、/etc/ccs ディレクトリ以下に以下の設定ファイルが保存されます。各設定ファイルの詳細は、項24.3を参照してください。

注意

TOMOYO Linux の管理ツールをインストールした直後の状態で init_policy.sh を実行せずにシステムの再起動を行うと、設定ファイルが存在しないためシステムの起動に失敗します。起動時、以下のように表示されている間に“disable”と入力し TOMOYO Linux を無効な状態とすれば起動が可能になります。再起動後 init_policy.sh を実行し必要な設定ファイルを作成してください。

TOMOYO Linux: Enter 'disable' within 10 seconds to disable TOMOYO Linux.
TOMOYO Linux> disable

24.4.2. ログ出力の設定(ccs-auditd)

TOMOYO Linux には、リクエストに対するアクセス許可のログとアクセス拒否のログといった 2 種類のログがあります。ここでは、アクセス拒否のログを記録するための設定を行います。

ログ出力先のディレクトリを作成します。

# mkdir  /var/log/tomoyo

ログ出力を行うには、管理ツールの ccs-auditd デーモンを起動します。システム起動時にデーモンを起動するには /etc/rc.d/rc.localの最後に次のように記述します。アクセス拒否ログのみを /var/log/tomoyo/reject_log.txt に出力する設定です。

# echo "/usr/lib/ccs/ccs-auditd /dev/null /var/log/tomoyo/reject_log.txt" >> /etc/rc.d/rc.local

書式は次の通りです。

ccs-auditd  許可ログ出力パス名  拒否ログ出力パス名

24.4.3. ポリシーの読み込みとシステムの再起動(ccs-init)

ここまでの初期設定が完了したら /etc/ccs ディレクトリ以下のポリシー定義を ccs-init で読み込みます。次のように実行します。

# /sbin/ccs-init

次のように表示されます。そのまま待つか[Enter]キーを押すとポリシー定義の読み込みが始まります。

TOMOYO Linux: Enter 'disable' within 10 seconds to disable TOMOYO Linux.
TOMOYO Linux>

ポリシー定義の読み込み終了後にプロンプトが表示されたらシステムを再起動します。

# reboot

システムが起動されると次のように表示されます。そのまま待つか[Enter]キーを押すとポリシー定義が読み込まれてからログインプロンプトを表示します。root でログインをしてください。

TOMOYO Linux: Enter 'disable' within 10 seconds to disable TOMOYO Linux.
TOMOYO Linux>

初期設定の完了です。続いて学習モードでアクセス制御をポリシー定義に追加し、確認後に強制モードで運用を開始します。学習モードは項24.5.1を、強制モードは項24.7を参照してください。