TomoyoLinuxセットアップ備忘録

以下は個人の備忘録

 1.install

    sudo apt install libtomoyotools3 tomoyo-tools -y

インストール後、以下のコマンド実行

    sudo /usr/lib/tomoyo/init_policy

2.audit setup

    sudo touch /etc/systemc/system/tomoyo-auditd.service

    /etc/systemd/system/tomoyo-auditd.service

以下の内容を記載する

-----------------------------------------------------

[Unit]

Description=TOMOYO Linux Auditing Daemon

[Service]

Type=forking

ExecStart=/usr/sbin/tomoyo-auditd

ExecReload=/bin/kill -HUP $MAINPID

[Install]

WantedBy=multi-user.target

-----------------------------------------------------

systemctl daemon-reload

systemctl start tomoyo-auditd.service

systemctl enable tomoyo-auditd.service

3.policy setup

    sudo tomoyo-editpolicy

対象プログラムを learning mode にセットアップ

よく使うキー

space 複数選択

c copy

d delete

a add

s set

w 画面選択

ポリシーのチューニング(https://tomoyo.osdn.jp/1.7/tutorial-2.html.ja)

\* / 以外の０文字以上

\$ １桁以上の１０進数

! マークが表示されているドメインについて

丸括弧内に示されたディレクティブにより、このドメインへ到達することができないことを示しています。

到達できないドメインが不要であれば、削除することができます。

tomoyo linux を用いたアクセス制御の備忘録

 特定のドメインからプログラムが実行された場合にはドメイン遷移を

行わない方法

1. tomoyo-editopolicyを開く
2. [w]keyを押下した後に[e]keyで例外ポリシーエディタを開く
3. keep_domain any from /bin/bash　の様にfrom句の後に遷移させたくないプログラムをフルパスで指定する
4. ただし  initialize_domain で指定した方が優先度が高い
5. initialize_domain /usr/sbin/sshd from any　の場合　/usr/sbin/sshd の部分はドメイン遷移を制御したいアプリケーションのパス名に置き換える。このディレクティブを追加すると、これ以降、今までにない動作パターンでプログラムが実行されても、新しいドメインを作成しないようになります。代わりに、<kernel> /usr/sbin/sshd というドメインで動作するようになります

詳しくはtomoyo linux ドキュメント参照