un logiciel pour durcir la securite d'une machine linux

* site web du projet

* wikipedia

 1. pour ameliorer la securite
 2. parce qu'il est intégré au noyau linux (gage de stabilité)
 3. parce qu'il a un mode apprentissage (learning) qui facilite la configuration

voir initialisation

• installer le package ccs-tools
• initialiser les regles : /usr/lib/tomoyo/tomoyo_init_policy
• editer les regles et passer en mode apprentissage (1) avec ccs-editpolicy

attention on peut travailler de 2 façons differentes sur les regles

• directement en memoire avec l'editeur ccs-editpolicy
• sur les fichiers sauvés avec un editeur (vi, emacs) ou ccs-patternize. ne pas oublier de faire un ccs-savepolicy/ccs-loadpolicy

il faut simplement être coherent. en mode apprentissage, c'est a priori la config “mémoire” qui est la reference

si l'on ne fait rien en mode apprentissage, la configuration va “exploser” :

• trop grand nombre de regles, ce qui entraine une surcharge memoire et donc des ralentissements
• regles tronquees (quota_exceeded) donc non adequates

il est necessaire de reduire le nombre de regles, en factorisant le plus possible reperer les problemes plusieurs pistes a suivre

• ccs-findtemp < /etc/ccs/domain_policy.conf : pour trouver les fichiers temporaires
• ccs_analyse_dom.pl : pour trouver les domaines qui ont les plus longues regles (par exemple les “quota_exceeded”)
• ccs_analyse_rule.pl : pour trouver les regles les plus utilisées

il y a plusieurs solutions pour factoriser

• file_pattern dans exception_policy.conf + ccs-patternize
• path_group + address_group
• aggregator

pour simplifier l'utilisation de tomoyo, j'ai ecrit un certain nombre se scripts sous licence GPL,

• ccs_analyse_dom.pl : repere les plus gros domaines
• ccs_analyse_rule.pl : repere les regles les plus gros utilisees
• ccs_clean.pl : nettoye les regles contenant des fichiers temporaires (absents)