学習モードで収集したポリシー定義を保存した後、強制アクセス制御を有効にする前に確認モードで動作を確認します。
# setprofile -r 2 '<kernel> /sbin/mingetty' 2 <kernel> /sbin/mingetty 2 <kernel> /sbin/mingetty /bin/login 2 <kernel> /sbin/mingetty /bin/login /bin/bash 2 <kernel> /sbin/mingetty /bin/login /bin/bash /bin/egrep 2 <kernel> /sbin/mingetty /bin/login /bin/bash /usr/bin/id 2 <kernel> /sbin/mingetty /bin/login /bin/bash /bin/hostname 2 <kernel> /sbin/mingetty /bin/login /bin/bash /sbin/pidof 2 <kernel> /sbin/mingetty /bin/login /bin/bash /usr/bin/wc 2 <kernel> /sbin/mingetty /bin/login /bin/bash /usr/bin/tty 2 <kernel> /sbin/mingetty /bin/login /bin/bash /bin/grep 2 <kernel> /sbin/mingetty /bin/login /bin/bash /bin/stty 2 <kernel> /sbin/mingetty /bin/login /bin/bash /bin/mesg 後略 |
次のように先ほど学習モードで許可ポリシーを追加したコマンド以外の実行時には WARNING が表示されます。WARNING の表示されないコマンドは強制モードでもアクセスを許可されます。WARNING が表示される操作はポリシー定義の見直しを行い定義の不足があれば追加します。
# head -3 /etc/shadow TOMOYO-WARNING: Access 4(open) to /etc/shadow denied for /bin/head root:$1$SAFS7shb$6Q0kJK316oHPhJYAmWqzC/:13803:0:99999:7::: tlclbadmin::13803:0:99999:7::: bin:*:13803:0:99999:7::: # tail -3 /etc/passwd TOMOYO-WARNING: Access 1(do_execve) to /etc/tail denied for /bin/bash TOMOYO-WARNING: Access 4(open) to /etc/passwd denied for /bin/tail squid:x:23:23::/var/spool/squid:/sbin/nologin quagga:x:92:92:Quagga routing suite:/var/run/quagga:/sbin/nologin radiusd:x:95:95:radiusd user:/:/bin/false |