tomoyo

un logiciel pour durcir la sécurité d'une machine linux

* site web du projet

* wikipedia

 1. pour améliorer la sécurité
 2. parce qu'il est intégré au noyau linux (gage de stabilité)
 3. parce qu'il a un mode apprentissage (learning) qui facilite la configuration

voir initialisation

• installer le package ccs-tools
• initialiser les règles : /usr/lib/tomoyo/tomoyo_init_policy
• éditer les règles et passer en mode apprentissage (1) avec ccs-editpolicy

attention on peut travailler de 2 façons differentes sur les regles

• directement en mémoire avec l'éditeur ccs-editpolicy
• sur les fichiers sauvés avec un éditeur (vi, emacs) ou ccs-patternize. ne pas oublier de faire un ccs-savepolicy/ccs-loadpolicy

il faut simplement être cohérent. en mode apprentissage, c'est a priori la config “mémoire” qui est la reference

si l'on ne fait rien en mode apprentissage, la configuration va “exploser” :

• trop grand nombre de règles, ce qui entraîne une surcharge mémoire et donc des ralentissements
• règles tronquées (quota_exceeded) donc non adéquates

il est nécessaire de réduire le nombre de règles, en factorisant le plus possible reperer les problemes plusieurs pistes a suivre

• ccs-findtemp < /etc/ccs/domain_policy.conf : pour trouver les fichiers temporaires
• ccs_analyse_dom.pl : pour trouver les domaines qui ont les plus longues regles (par exemple les “quota_exceeded”)
• ccs_analyse_rule.pl : pour trouver les règles les plus utilisées

il y a plusieurs solutions pour factoriser

• file_pattern dans exception_policy.conf + ccs-patternize
• path_group + address_group
• aggregator

pour simplifier l'utilisation de tomoyo, j'ai ecrit un certain nombre se scripts sous licence GPL,

• cs_analyse_dom.pl : repère les plus gros domaines
• ccs_analyse_rule.pl : repère les règles les plus gros utilisées
• ccs_clean.pl : nettoye les règles contenant des fichiers temporaires (absents)

— eric gerbier 2009/09/14 16:29