====== tomoyo ======

un logiciel pour durcir la sécurité d'une machine linux

===== documentation tomoyo =====


 * [[http://tomoyo.sourceforge.jp/1.6/index.html.en | site web]] du projet

 * [[http://en.wikipedia.org/wiki/TOMOYO_Linux | wikipedia]]


===== pourquoi tomoyo =====


   1. pour améliorer la sécurité
   2. parce qu'il est intégré au noyau linux (gage de stabilité)
   3. parce qu'il a un mode apprentissage (learning) qui facilite la configuration

===== installation de tomoyo =====


voir initialisation

    * installer le package ccs-tools
    * initialiser les règles : /usr/lib/tomoyo/tomoyo_init_policy
    * éditer les règles et passer en mode apprentissage (1) avec ccs-editpolicy

===== la configuration =====

==== fichiers de reference ====


attention on peut travailler de 2 façons differentes sur les regles

    * directement en mémoire avec l'éditeur ccs-editpolicy
    * sur les fichiers sauvés avec un éditeur (vi, emacs) ou ccs-patternize. ne pas oublier de faire un ccs-savepolicy/ccs-loadpolicy

il faut simplement être cohérent. en mode apprentissage, c'est a priori la config "mémoire" qui est la reference

==== réglages ====


si l'on ne fait rien en mode apprentissage, la configuration va "exploser" :

    * trop grand nombre de règles, ce qui entraîne une surcharge mémoire et donc des ralentissements
    * règles tronquées (quota_exceeded) donc non adéquates

il est nécessaire de réduire le nombre de règles, en factorisant le plus possible reperer les problemes plusieurs pistes a suivre

    * ccs-findtemp < /etc/ccs/domain_policy.conf : pour trouver les fichiers temporaires
    * ccs_analyse_dom.pl : pour trouver les domaines qui ont les plus longues regles (par exemple les "quota_exceeded")
    * ccs_analyse_rule.pl : pour trouver les règles les plus utilisées

il y a plusieurs solutions pour factoriser

    * file_pattern dans exception_policy.conf + ccs-patternize
    * path_group + address_group
    * aggregator

===== des scripts =====


pour simplifier l'utilisation de tomoyo, j'ai ecrit un certain nombre se scripts sous licence GPL,

    * [[http://eric.gerbier.free.fr/download/ccs_analyse_dom.pl|cs_analyse_dom.pl]] : repère les plus gros domaines
    * [[http://eric.gerbier.free.fr/download/ccs_analyse_rule.pl|ccs_analyse_rule.pl]] : repère les règles les plus gros utilisées
    * [[http://eric.gerbier.free.fr/download/ccs_clean.pl|ccs_clean.pl]] : nettoye les règles contenant des fichiers temporaires (absents)

 --- //[[eric.gerbier@free.fr|eric gerbier]] 2009/09/14 16:29//

{{tag>securite tomoyo}}