Linuxの最近のブログ記事

うい。
先日、Linux 関連で、ab (Apache Bench)について書いてみたのだが。。。
良く考えるとabってかなりコマンドの中ではかなり先頭にあるんじゃねーか？

と思って

]# a [TAB][TAB]

と実行してみると。。。やはり。。。
で、つい訳もなく、その他のコマンドを追っかけてみる。
これでブログのネタに困る事もなくなるだろう（って、別にブログそんなに書いてないけど）。
ちなみに、RHEL6相当の環境下で当面は書かせてください。

ac コマンド

===========
]# whatis ac
ac                   (1)  - print statistics about users' connect time
===========

man ac (1) から抜粋
ac  prints  out  a  report  of connect time (in hours) based on the lo-
       gins/logouts in the current wtmp file.  A total is also printed out.

 なるほど。とりあえず実行すべさ。

=======
]# ac
    total    11425.43
=======

フムフム。何これ。時間数なの？多分そう。

=======
~]# ac -p
    test                               196.52
    test2                                0.29
    root                                10.09
    hoge                        11218.73
    total    11425.62
=======

アカウント毎ってことのようで、hogeさん頑張ってるね。
このブログ自体、hogeで頑張ってみてるわけですが。

=======
]# ac -p root
    root                                10.09
    total       10.09
=======
ああ。やっぱりユーザ名も受け付けるのね。
次は。。。日毎？？

======
] ac -d
(出力略）
Aug 23    total       30.32
Aug 25    total       95.10
Aug 26    total       27.21
Aug 31    total       18.88
Sep  5    total      235.22
Sep  6    total       34.76
======


ん？？何だこれ。。。時間数とは思いがたいな。。。分数にしても。。。変な気もする。
混乱してきたぞい。

組み合わせてみる。

] ac -d -p hoge

Aug 31    total       18.88
    hoge                                 235.22
Sep  5    total      235.22
    hoge                                  34.76
Sep  6    total       34.76
    hoge                                  20.79
Today    total       20.79

うーん。。やっぱり時間数ではないようだね。。。
 

ひさびさに、仕事っぽいBlogでも。
RHEL5.4のβが出てから２週間。そろそろ・・・ということで今週はbeta版のisoをダウンロードし、KVMを試してみましたよ。

ちなみに、火曜から取り掛かったのにとりあえず木曜まで動かなかった理由は２つ。

★水曜に休暇を取ったこと。
★火曜に、X86のisoを落としてインストールが終わった後で、「あれ？kvmとkvm-intelモジュールが無い・・・」＝＞答：「KVMはX86_64版（5.4Beta時点）で動作。X86版は無し」＝＞ダウンロードしなおし

＝＝
ということで、X86_64版をインストールしてトライしてみた。

このサーバーではなく、自宅サーバの話です。
ともかくLogWatchさんからのメールに、sshdを叩き続ける輩のログが多すぎて鬱陶しい。

一応、rootに限らずパスワードでの認証は不可としてるのですが・・・。それはそれとしてやはりログが汚れるのは嬉しくはない・・・。

ふう。チョコ食べたので続きを投稿
ちなみに、前回のhoge.te ファイルのアウトラインについてはこちら。
 
んで、簡単に整理しておきましょう。
(1)お約束の冒頭

===
policy_module(<モジュール名>, <version番号>)
===
例えば以下みたいな形。

policy_module(hoge,0.0.1)
audit2allowでモジュールを生成すると、少し書式が違うが新しいのはこっちの書式らしい。

(2)require節
ルール定義や、オリジナルのタイプ定義の際に必要な属性はここで読み込んでおこう。
require{
    type <既存のタイプ名>[,<既存のタイプ名2>...];
    attribute <既存の属性名>;
}
タイプ・attributeともに、「,」で区切って列挙できるようすです。

ここまでのところは書式概要はシンプル・・・な気がします。makeして、「unknownだ」といわれたら追加してあげればよさそうなので、ミスも起こりにくいのかな・・・と（作業効率はともかくとして）。

(3)定義節
(3)-1タイプ定義
A:タイプ・属性だけの場合
----
type hoge_t[,attribute]
----

B:エイリアスを指定する場合
type hoge_t alias fuga_t; //ひとつだけエイリアスを指定する場合
type hoge_t alias {fuga_t　other_t};

C:タイプ遷移の定義
---
type_transition <プロセスのタイプ(a)> <ファイル・ディレクトリのタイプ(b)> : <class(c)> <新しいタイプ(d)>
---

ここで、classと記載されているが、ここでは「ファイルなのか、ディレクトリなのか、シンボリックリンクなのか・・・）という指定が入るものと理解しておく。
「(a)のプロセスが、(b)の下にある(c)を作成した場合に、その(c)のコンテクストのタイプを(d)にする。」ということ。

例えば、unconfined_tタイプのプロセスが、hoge_home_tディレクトリ以下にファイルを作った場合にhoge_tタイプのファイルを作成させる・・というタイプ遷移を指定したければ、以下のようになる。


type_transition unconfined_t  hoge_home_t:file hoge_t;
===
実例を作ってやってみる。

]# cd /root/mypolicy
mypolicy]# vi hoge.te

policy_module(hoge,0.1.0)
require{
        type unconfined_t;
        attribute file_type;
}

type hoge_t, file_type;
type hoge_home_t, file_type;

type_transition unconfined_t hoge_home_t:file hoge_t;

===
これで（まだ、何も許可していないがhoge_t、hoge_home_tというタイプの定義と、タイプ遷移の定義までは出来たことになる。

テスト用に特定のディレクトリをhoge_home_t　として試すために、一度コンパイル＝＞ロードしてみる。

 mypolicy]# ls
Makefile  hoge.te
 mypolicy]# make
(出力略）
Creating targeted hoge.pp policy package
rm tmp/hoge.mod.fc tmp/hoge.mod
mypolicy]# ls
Makefile  hoge.fc  hoge.if  hoge.pp  hoge.te  tmp
===

hoge.if/hoge.pp/hoge.fcファイルが生成されているのが分かる。hoge.ppが、ロードすべきモジュールファイル。semodule コマンドを使ってロードする。
===
mypolicy]# semodule -i hoge.pp
mypolicy]# semodule -l | grep hoge
hoge    0.1.0
===
どうやらロードはされた様子。ここで、ちょっとテストしてみます。
===
mypolicy]# mkdir /root/hoge
mypolicy]# chcon -t hoge_home_t /root/hoge
mypolicy]# ls -Zd /root/hoge/
drwxr-xr-x  root root root:object_r:hoge_home_t        /root/hoge/
mypolicy]# touch /root/hoge/fuga
mypolicy]# ls -Z /root/hoge/fuga
-rw-r--r--  root root root:object_r:hoge_t             /root/hoge/fuga

===
シンプルながらも、とりあえず意図したファイルが生成できた。まだ、何もルール書いてないけど・・・。
書式と適用の概要を考えるのならこれでいいかな。

(4)ほい。ポリシーの本体といっても良い、allow行についてですね

allow <source> <target>:<class> <許可する処理内容>
例えば以下みたいな？？
===
allow hoged_t hoge_t:file {read write getattr }
allow hoged_t hoge_home_t:dir {read getattr search }
===
1行目では、hoged_t(まだ定義してませんが、特定のプロセスのタイプだとお考えください）が、hoge_t のファイルに読み・書き・属性取得をすることを許可。
2行目は、hoge_home_tディレクトリ内のファイルのread,getattr,search を許可してみている。

何か、実例を考えないとallow行の実験はむずいな（まぁ、ソースがあるので・・・特定のサービスをはずして作ったルールを適用したシステムを作ればいいんだと思うが・・・どこでも検証できるわけではなくて面倒だ）。

少し考えるべく、何か夜食を食べてみる（すぐに再開するかどうかは微妙）

ほい。
先日、@YMC で借りたXen環境上で Visitors（Apacheのウェブ解析ソフト）を使って
処理速度を確認してみたりしていましたが・・・。
あと、どこかでAnalog/Apache LogViewerについても触れていた気がしましたが・・・今回はAWStatsで攻めてみました。これ、ちょうどいいんじゃないのかな？