TOP情報セキュリティ> 学習結果を確認してみよう
TOMOYO Linux
初体験 TOMOYO Linux!

第6回:EclipseとTOMOYO GUIでWebサーバを簡単管理
著者:日本データコム  平坂 透   2007/7/24
前のページ  1  2  3
学習結果を確認してみよう

   先ほどまで開いていた「ドメインポリシページ」の右上にはポリシーの再読み込みボタンがあります。このボタンをクリックすると、学習したファイルのアクセス制御情報を含む最新のポリシーをサーバからダウンロードして表示をアップデートします。
情報をアップデートした結果
図6:情報をアップデートした結果
(画像をクリックすると別ウィンドウに拡大図を表示します)

   リフレッシュ結果から「<kernel> /usr/sbin/httpd」ドメインに対して、起動と停止処理で必要なファイルへのアクセス制御と、Webブラウザからアクセスしたファイルに対するファイルの読み込み(4)の許可が学習されたことがわかります。
学習結果を確認してみよう(その2)

   TOMOYO GUIでは、TOMOYO Linuxのポリシーをテキストスタイルで参照することもできます。エディタ領域下部の「domain_policy.txt」を選択してください。

テキストスタイルでの編集
図7:テキストスタイルでの編集
(画像をクリックすると別ウィンドウに拡大図を表示します)

   これはTOMOYO Linuxのポリシー自体をほぼそのまま表示しています。この形式でポリシーをみることで、どのドメイン(≒プロセス)がどのようなリソースにどのようにアクセスしているのか、というプロファイリングや勉強のために利用することができます。
強制モードで動作させてみよう

   ではモードを切り替えて、今学習したポリシーでアクセス制御を強制させてみましょう。

   なお本来は、学習モードでの学習から強制モードで動作させる前に、確認モードで十分なアクセス制御が学習されたのかをチェックする必要があります(今回はページの関係上、説明を省略いたします)。

   学習を開始した時と同じ手順で、「<kernel> /usr/sbin/httpd」ドメインを選択し、右クリックして表示されるメニューから「プロファイルの変更」を選びます。「プロファイルの変更」ダイアログが表示されるので、ファイルアクセス制御の強制用のプロファイルである「プロファイル3」をプロファイルの一覧から探し、ダブルクリックもしくは、選択した状態で「OK」を押下します。

   これで、Webサーバの起動/停止と、Webブラウザでアクセスしたコンテンツ以外は参照できなくなっているはずです。皆さんの環境で動作を試してみてください。
ポリシーの保存

   最後に忘れてはならないのが「ポリシーの保存」です。これはCUI版の「savepolicy」コマンドと同じ作業にあたります。

   エディタ領域下部の「ホーム」タブをクリックし、プロジェクトを開始した時に表示された「ホーム」ページに戻ります。

   画面中央の「ポリシーをファイルに保存」リンクを押下すると、サーバ上にポリシーがファイルとして保存されます。再度サーバを起動しても、ここで保存したポリシーが適用されます。

ポリシーをファイルに保存
図8:ポリシーをファイルに保存
おわりに

   駆け足でTOMOYO GUIの操作について紹介しましたが、本ツールの使い方の基本はおわかりいただけたと思います。TOMOYO GUIを通じ、何かと難しく思われてしまうセキュアOSの世界の敷居が少しでも低くなり、同時にTOMOYO Linuxの普及につながってほしいと考えています。
前のページ  1  2  3

日本データコム株式会社 平坂 透
 著者プロフィール
日本データコム株式会社  平坂 透
数年前からセキュアOS「SELinux」を使いはじめ、その高い壁と格闘する日々を送る。平成18年よりTOMOYO Linuxプロジェクトに参加。主に「TOMOYO GUI」の開発を担当しつつ、最近はセキュアOSが少しずつ身近になってきたことを実感している。
INDEX
第6回:EclipseとTOMOYO GUIでWebサーバを簡単管理
  TOMOYO GUIでWebサーバのポリシーを作成
  httpdプロセスのドメインを探す
学習結果を確認してみよう