tomld – Tomoyo u dva poteza
Tomoyo?
Tomoyo je pathname MAC (mandatory access control) za Linux cija je svrha povecanje sigurnosti Linux sistema. Ideja je jednostavna: Tomoyu kazete “sta je OK” (learning) a Tomoyo ce zatim sve “sto nije OK” u komunikaciji sa Linux kernelom blokirati. Ako mu kazemo da je OK da user amar ima read/write permisije na /var/www/vhosts/amar/www direktorij, a korisnik amar nakon learning perioda (enforcing) pokusa pisati u /var/www/vhosts/amar/www2 kernel mu to nece dozvoliti.
tomld?
Pisanje Tomoyo pravila se moze nazvati “bolnim”. Nije bas sve tako jednostavno i lako za zavrsiti a uvijek postoji sansa za gresku. tomld taj proces pojednostavljuje. Radi kao deamon i gleda na sve trenutno pokrenute procese u learning mode-u te sam pokusava da skonta koja pravila napisati i staviti ih u enforcing mode. Naravno i ovdje postoji mogucnost greske ali komandom tomld –learn cemo deamon-u reci da, iako je u enforcing mode-u, na 1h sve denied domene ponovo stavi u learning mode.
Iako na prvu zvuci i previse komplikovano,tomld to zaista nije a MAC je nesto sto svakom shared hosting serveru itekako treba.. osim ako se ne odlucite ici Gentoo Hardened putem : )