Outils pour utilisateurs

Outils du site


tomoyo

tomoyo

un logiciel pour durcir la sécurité d'une machine linux

documentation tomoyo

* site web du projet

* wikipedia

pourquoi tomoyo

 1. pour améliorer la sécurité
 2. parce qu'il est intégré au noyau linux (gage de stabilité)
 3. parce qu'il a un mode apprentissage (learning) qui facilite la configuration

installation de tomoyo

voir initialisation

  • installer le package ccs-tools
  • initialiser les règles : /usr/lib/tomoyo/tomoyo_init_policy
  • éditer les règles et passer en mode apprentissage (1) avec ccs-editpolicy

la configuration

fichiers de reference

attention on peut travailler de 2 façons differentes sur les regles

  • directement en mémoire avec l'éditeur ccs-editpolicy
  • sur les fichiers sauvés avec un éditeur (vi, emacs) ou ccs-patternize. ne pas oublier de faire un ccs-savepolicy/ccs-loadpolicy

il faut simplement être cohérent. en mode apprentissage, c'est a priori la config “mémoire” qui est la reference

réglages

si l'on ne fait rien en mode apprentissage, la configuration va “exploser” :

  • trop grand nombre de règles, ce qui entraîne une surcharge mémoire et donc des ralentissements
  • règles tronquées (quota_exceeded) donc non adéquates

il est nécessaire de réduire le nombre de règles, en factorisant le plus possible reperer les problemes plusieurs pistes a suivre

  • ccs-findtemp < /etc/ccs/domain_policy.conf : pour trouver les fichiers temporaires
  • ccs_analyse_dom.pl : pour trouver les domaines qui ont les plus longues regles (par exemple les “quota_exceeded”)
  • ccs_analyse_rule.pl : pour trouver les règles les plus utilisées

il y a plusieurs solutions pour factoriser

  • file_pattern dans exception_policy.conf + ccs-patternize
  • path_group + address_group
  • aggregator

des scripts

pour simplifier l'utilisation de tomoyo, j'ai ecrit un certain nombre se scripts sous licence GPL,

eric gerbier 2009/09/14 16:29

tomoyo.txt · Dernière modification: 2012/02/05 16:43 (modification externe)