tomoyo
un logiciel pour durcir la sécurité d'une machine linux
documentation tomoyo
pourquoi tomoyo
1. pour améliorer la sécurité
2. parce qu'il est intégré au noyau linux (gage de stabilité)
3. parce qu'il a un mode apprentissage (learning) qui facilite la configuration
installation de tomoyo
voir initialisation
installer le package ccs-tools
initialiser les règles : /usr/lib/tomoyo/tomoyo_init_policy
éditer les règles et passer en mode apprentissage (1) avec ccs-editpolicy
la configuration
fichiers de reference
attention on peut travailler de 2 façons differentes sur les regles
directement en mémoire avec l'éditeur ccs-editpolicy
sur les fichiers sauvés avec un éditeur (vi, emacs) ou ccs-patternize. ne pas oublier de faire un ccs-savepolicy/ccs-loadpolicy
il faut simplement être cohérent. en mode apprentissage, c'est a priori la config “mémoire” qui est la reference
réglages
si l'on ne fait rien en mode apprentissage, la configuration va “exploser” :
trop grand nombre de règles, ce qui entraîne une surcharge mémoire et donc des ralentissements
règles tronquées (quota_exceeded) donc non adéquates
il est nécessaire de réduire le nombre de règles, en factorisant le plus possible reperer les problemes plusieurs pistes a suivre
ccs-findtemp < /etc/ccs/domain_policy.conf : pour trouver les fichiers temporaires
ccs_analyse_dom.pl : pour trouver les domaines qui ont les plus longues regles (par exemple les “quota_exceeded”)
ccs_analyse_rule.pl : pour trouver les règles les plus utilisées
il y a plusieurs solutions pour factoriser
des scripts
pour simplifier l'utilisation de tomoyo, j'ai ecrit un certain nombre se scripts sous licence GPL,
-
-
ccs_clean.pl : nettoye les règles contenant des fichiers temporaires (absents)
— eric gerbier 2009/09/14 16:29