5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【めざせ】TOMOYO Linux 0.0.2 【本家入り】

1 :login:Penguin ◆XkB4aFXBWg :2008/06/03(火) 23:07:21 ID:A7GEg7r5
使いこなせて安全な強制アクセス制御(MAC)実装、TOMOYO Linuxのスレッドです。

TOMOYO Linux プロジェクト
ttp://tomoyo.sourceforge.jp/
TOMOYO Linux の世界
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux
TOMOYO QandA
ttp://tomoyo.sourceforge.jp/wiki/?QandA
はてなキーワード TOMOYO Linux
ttp://d.hatena.ne.jp/keyword/TOMOYO%20Linux
TOMOYO メインライン提案まとめ
ttp://elinux.org/TomoyoLinux#Mainline
過去スレ
TOMOYO Linux ttp://pc11.2ch.net/test/read.cgi/linux/1152257294/
まとめ ttp://tomoyo.sourceforge.jp/wiki/?TomoyoIta1

525 :login:Penguin ◆XkB4aFXBWg :2008/10/29(水) 07:20:39 ID:KPkN76BW
何故書いてくれる人を募集しようと思ったかを書いておきます。
・(いつもは見えない)ユーザの存在を感じてみたい
・ユーザの視点(意見、疑問)を知りたい(そしてその内容を今後の活動に反映したい)
・より多くの人にTOMOYOのことを知って欲しい
ですが、TOMOYOを通じて「外の人」から出てきてもらったり、読者からライターに
なって欲しいと思っています。そのきっかけを作り、手伝いたいです。



526 :login:Penguin ◆XkB4aFXBWg :2008/10/29(水) 19:44:30 ID:AmW+9Vlp
>>519
>この仕様は変わらないのでしょうか。
>AppArmorはrecursiveに設定できるようですが。
これは私の考えで実際とは違うかもしれませんが、そう思って読んでください。

ポリシーで再帰的な記述を許すということは、実行時にディレクトリ階層の評価を
行うということで、その評価はカーネルの処理として実行されます。
言ってみれば、ユーザの設定を簡便化する代償として、その分の作業を
カーネルに強制することになります。Linuxには「カーネルの処理を軽減し、
真にカーネルでなければできないことしかさせない」という考え方が存在しますから
そのようなことはおそらく許容されないように思います。

ひとつの方法としては、tomoyoのポリシーはテキスト形式ですから、
テキスト処理として階層を展開したポリシーを生成するようなツールを
作るようなことではどうでしょうか?

527 :login:Penguin ◆XkB4aFXBWg :2008/10/29(水) 19:46:56 ID:AmW+9Vlp
>>515
>tomoyo #11のほうは、その後特に意見、コメント等でておらず、今日
>関係者に宛ててこんなど真ん中ストレートメールを投げました。
一応報告しておきますが、まだ返事はきていません。
# どのような形の返信であれちゃっかり公開します。



528 :login:Penguin:2008/10/29(水) 20:16:04 ID:dS09MGt3
>>512
keep_domain でそれ以上ドメイン遷移を深くさせたくないのかと思いましたが、
>>516
どうやらドメインに対するアクセス許可の指定で /\* の繰返しを避けたいという
質問のようですね。
>>519
TOMOYO も AppArmor もホワイトリストです。ですから、「 /etc/\* だけ禁止」という
ブラックリストな指定はサポートしていません。

/etc/\* 以外を許可(つまり /bin/\* や /sbin/\* などだけ許可)したければ
/\*\-etc/\* という指定が可能です。これを再帰的にすると

/\*\-etc/\*
/\*\-etc/\*/\*
/\*\-etc/\*/\*/\*
/\*\-etc/\*/\*/\*/\*

のようになります。
path_group というものをサポートしているので、 exception_policy にて

path_group all_but_etc /\*\-etc/\*
path_group all_but_etc /\*\-etc/\*/\*
path_group all_but_etc /\*\-etc/\*/\*/\*
path_group all_but_etc /\*\-etc/\*/\*/\*/\*

のように定義しておけば、 domain_policy にて
@all_but_etc のように参照することが可能です。


529 :login:Penguin ◆XkB4aFXBWg :2008/10/29(水) 20:31:18 ID:AmW+9Vlp
>>528
ありがとうございます。(_ _)
>path_group というものをサポートしているので、 exception_policy にて
SD連載だとここに載っています。
ttp://tomoyo.sourceforge.jp/wiki/?WorldOfTomoyoLinux-6




530 :login:Penguin ◆XkB4aFXBWg :2008/10/30(木) 07:10:39 ID:SVxgKzFG
Sergeから返信がありました。以下、全文を引用します。
Sergeは以前「どのくらい使われているのかmlなどのトラフィックを見たい」と
言っていたのが、全然使われていない→マージするのはちょっと早い?と
思われているようです。(利用状況を伝えるのに失敗しています)

> Stephen, James, Chris, Serge,
> What is the status of this patchset?
>
> I saw no objections against our patchset.

I don't like the 'in_exec' bit in the task_struct, but adding LSM hooks
to let just TOMOYO mark whether you're in exec seems even uglier.

> We are waiting for your review for now.
> Is there something we can do?

Well I think the patchset is at a stage where it needs a test-spin in
-mm (or something).

The users' list seems quite sparse, though. Who exactly does use this,
and why? (I don't mean that to sound adversarial, but while I think I
know how it differs from selinux, I'm not clear on when or why its
differences would be advantageous.)

-serge

531 :login:Penguin ◆XkB4aFXBWg :2008/10/30(木) 07:39:01 ID:SVxgKzFG
注目すべきなのは、元の質問(Sergeのメールで引用されている部分)は、
私信として送られたものなのに対して、返信は、LSM, LKML, Andrew Mortonが
追加されています。

Sergeは(おそらくはtomoyo-users-enを見て)温度というか関心が下がっていて、
かつマージして欲しいならここ(LKML)でそれを説得しろと言っています。
同時に(間接的に)Stephen, James, Andrewに推薦するかという意味も
含んでいます。これは困った。

532 :login:Penguin ◆XkB4aFXBWg :2008/10/30(木) 07:41:13 ID:SVxgKzFG
   / ̄ ̄\
 /   _ノ  \  ・・・困るなよ
 |    ( ●)(●)               ____
. | U   (__人__)           /      \
  |   U ` ⌒´|           /─    ─   \  だって英語だお
.  | U      }  \      / (●) (●)    \ 
.  ヽ        }     \     |   (__人__)      |  
   ヽ     ノ       \   \   ` ⌒´      _/   
   /    く. \      \  ノ           \
   |     \  \    (⌒二              |
    |    |ヽ、二⌒)、      \         |  |

533 :login:Penguin ◆XkB4aFXBWg :2008/10/30(木) 07:44:41 ID:SVxgKzFG
Stephenは以前、「TOMOYO(のマージ)を邪魔するつもりはない」と言っていました。
実際、その後TOMOYOに反対する発言はしていませんが、賛成もしていません。
おそらく(何らかの意味でSELinuxに関係しない限り)ずっと黙って見ているつもりでしょう。
James, AndrewはStephenよりは、応援してくれていると思いますが、おそらく
積極的な後押しはあまり期待できそうにない。Chrisは・・・。(--;

534 :login:Penguin ◆XkB4aFXBWg :2008/10/30(木) 08:37:34 ID:SVxgKzFG
もうひとつだけ。

今の状況は放置しておくと危険ですが、逆に事実をもとに実績をアピールできれば
一気に道は開けるはず。つまりチャンスとも言えます。
最善を尽くします。

535 :デムパゆんゆん潜行中:2008/10/30(木) 10:53:01 ID:SuI9MALy
セルゲ君
ttps://www.redhat.com/archives/fedora-selinux-list/

6月で止まって 移動したのかう?
ttp://www.nsa.gov/selinux/list-archive/date.cfm?MenuID=41.1.1.9.3

納得できる案を示してくれたまへ

http://forge.novell.com/pipermail/apparmor-general/
apparmorは地味に続いてる

認知度が低すぎだわな だた様が欧州で狂ったように買い漁ってるが、
ついでにマンドリバも買うニダ マンドリバ selinuxのメンテナもいるし
セキュアOS(笑)に対する拒絶感みたいなものはほかの鳥より少ない過渡。
selinux陣営は最後の防衛線のよう そう思いたいでつ。

536 :login:Penguin:2008/10/30(木) 16:29:37 ID:lo3szE/3
実績か
そういえばデファクトスタンダードにしる!日本だけでもよいから
とかいう意見がかなり前にあったな



537 :login:Penguin:2008/10/30(木) 20:05:58 ID:zacaGaLa
>>531
sds jmorris chrisw serue linux-security-module linux-kernel akpm 宛に送られたメールに、
そのまま返信してきただけなんですけど・・・。


538 :login:Penguin ◆XkB4aFXBWg :2008/10/30(木) 23:33:04 ID:SVxgKzFG
>>537
(_ _; ぐふっ



539 :login:Penguin ◆XkB4aFXBWg :2008/10/30(木) 23:38:19 ID:SVxgKzFG
まあ、多少の勘違いはあったかもしれませんが、とにかく返信しておきました。(_ _;
ttp://lkml.org/lkml/2008/10/30/28



540 :login:Penguin ◆XkB4aFXBWg :2008/10/31(金) 00:53:16 ID:oEXfu86J
>>535
>selinux陣営は最後の防衛線のよう そう思いたいでつ。
以前も書きましたが、おそらくselinux陣営は今やtomoyoやAppArmorを
敵とも脅威とも思っていないでしょう。「防衛」という意識もないはずです。

LSMはもともと複数の実装をつなぐ(切り替える)ためのものですから、
他に害を与えず、意味があるものであれば、
本来そこに選択肢を追加することに反対する理由はありません。


541 :login:Penguin:2008/11/01(土) 11:55:02 ID:31JUsg7U
>>526-528
ありがとうございます。
ホワイトリスト指定という前提を忘れていました。firewallのdenyルールが出来ないかと、ちょっと欲張ってしまいました(汗。



542 :login:Penguin ◆XkB4aFXBWg :2008/11/02(日) 12:21:08 ID:7n+ipafu
LKMLのほうはその後進展がありませんが(この状態が毎度ながらきついわけです)、
Software Designさんのほうは、Debianのやまねさん、Ubuntuのhitoさん、
Gentooの青田さん、組込みセキュアOSを追っている宍道さんから協力可能との
お返事をいただきました。(感謝!)
その他未確定ですが、TurbolinuxとTOMOYOスレのデムパゆんゆんさんとも
調整中です。

企画(特集)が成立するかは現時点では未定であり、さきほど編集さんに状況報告を
かねて相談のメールを送りました。書いてみたい方はもちろんですが、
それ以外でも何らかの形で関わりたい方(たとえば、査読者として)はご連絡を
お待ちしています。


543 :login:Penguin:2008/11/02(日) 22:15:31 ID:zfqJKYrq
updatedb を strace かけるとあちこち open してるみたいだけど TOMOYO には
出てこないのだね

たしかに stat を記録していると煩雑になるだろうけど、たとえばグローバル
に読みとりはできるようにしときたい、けどパスを検索かけられたくない(少な
くとも locate で簡単にひっかかっちゃうようにはしたくない)みたいなのは実
現できないだろうか?

# まぁ こんなルールがざるだって言えばそれまでだけどさ


544 :login:Penguin:2008/11/02(日) 22:29:23 ID:zfqJKYrq
あ locate の設定で exclude できるのは知っているけどヒューマンミスをへら
すためには障壁は多いほうがいいよね

設定ファイルが改竄されても、 TOMOYO でガードできたらいいな、って感じ


545 :デムパゆんゆん潜行中:2008/11/02(日) 22:32:14 ID:hCn+c9Cn
猛者揃いだなwww
この中に突撃して せんとくんとともよちゃんどたばた珍道中 うん
文体を 各方面にてご活躍の方々 貴紙でも何度もお見受けする方など著名な執筆陣の中
大変恐縮ながら一筆添えることとなりました。何度もご指導、ご鞭撻の程をを賜り、若輩ながら執筆致しました。
お見苦しいところも多々ありますが、pgrおながいしまつ  に変えるお 胃が痛いアル

546 :login:Penguin:2008/11/03(月) 02:26:16 ID:sSaKxD4K
>>543
TOMOYO ではディレクトリのオープンはチェックしていません。
常識的な使い方であれば、読まれたくないのはファイルの内容であって、
ファイル名そのものではありませんから。
例えばパスワードはファイルの中に記録しておくものであって、
パスワードをファイル名にすることはしないでしょう。

>>544
設定ファイルの改竄を防ぐのも TOMOYO の役割でしょう。


547 :デムパゆんゆん潜行中:2008/11/03(月) 05:27:00 ID:4yYq9I98
A→A'→Aと ファイル名変えて改竄される事もあるのかしらん
ファイル名A'に変えて改竄してからまたAに戻す。
知代ちゃんではムリポなふいんき

ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-October/000503.html
いろいろ更新入ってまつ
前から気になっていた うpだてした時にディレクトリが変わったりするのが時々ある
あれ ポリシ違反ログ追っかけながら適宣修正していくのであったかのぅ
少し楽になりそうだ
駄菓子歌詞、ともよちゃんの設定ファイルやログ 基本手動であります。
ともよちゃん自身がヒューマンミスの要因にもなり得るかもれにゃい
夜明けの午後3時寝ぼけて作業してたりすると 実ファイルとともよの設定ファイルにズレが出てきそうである。
弊社、自宅警備員の自動化を進めており、当面の課題となっております。
cron回すとかリアルタイムで監視とかただいま思案ちう
ただ、自動化でオラがリストラされそうでもあります。

548 :login:Penguin ◆XkB4aFXBWg :2008/11/03(月) 07:40:22 ID:0efBF+XO
>>545
当たり前ですが、最初は誰も書いたことがないわけです。初めて書くときは誰でも同じです。
最初に書くときには、書こうと思う気持ちときっかけが必要です。
そのきっかけはそう多くはありません。自らつかむものだと思います。
不思議なことにこのスレに書き込まれるメッセージを読むと、その人がどれだけ
tomoyoを知っていて、使っているかがなんとなくわかります。
デムパ君は、このスレの中でも優等生です(国語はあまり良くないかもしれません)。
使ってくれていること、ここに意見を書いてくれることは、中の人をはげまします。


549 :login:Penguin ◆XkB4aFXBWg :2008/11/03(月) 07:47:08 ID:0efBF+XO
メインライン化の状況です。

Sergeの発言へのレス以降進んでいませんが、待っている間にmmにcredentialが入ったという
情報がありました。credentialは将来メインラインに入るのが実質的に確定しており、
それに対応するためにはtomoyoに修正が必要でした。linux-nextにはcredentialがはいっていて、
mmには入っていないという状態が続いていて、今更mm用にcredentialの入っていない
パッチを提案しても仕方ないわけでしたが、mmにcredentialが入っていわば
追いついたので、休み明けにパッチを投稿する予定です。ただ、やっぱり
mmとlinux-nextの関係というかいつmmがlinux-nextに移行するのかよく見えません。
(Sergeもそのあたりわかってないようです)

550 :login:Penguin:2008/11/03(月) 09:38:32 ID:sSaKxD4K
>>547
> A→A'→Aと ファイル名変えて改竄される事もあるのかしらん
> ファイル名A'に変えて改竄してからまたAに戻す。
> 知代ちゃんではムリポなふいんき
まさにラベル陣営がパス名陣営を攻撃する時の材料です。
確かに、パス名ベースのアクセス制御である TOMOYO や AppArmor では、
ファイル名を変更することによりアクセスの可否が変化するので、
もし、「A→A' というリネーム」「A'というパス名への書き込み」「A'→Aというリネーム」という
3つの操作が許可されていたら、改ざんを許すことになるでしょう。

しかし、ここにはラベル陣営が忘れている落とし穴があります。
ファイル名が変わっても読み書きの可否が変わらないのはラベル方式の利点ですが、
ファイル名が変わることによりシステムが想定外の動作をしてしまう危険性を
把握できないのがラベル方式の欠点です。

例えば、 .htaccess を改ざんして悪意あるサイトへ誘導する攻撃( ttp://isc.sans.org/diary.html?storyid=5150 )に関しても、
TOMOYO であれば、 htdocs 以下の書き込みを許可しなければいけない場合でも
/var/www/html/\*.html とか /var/www/html/\*\-.\* とかのように「使って良い名前」を
制限することにより、 /var/www/html/.htaccess という名前でファイルを作成されたり、
/var/www/html/blog.html を /var/www/html/.htaccess にリネームされたりするのを
禁止できるわけです。

ラベルベースの場合、「同一ディレクトリ内でのリネームを許可」という粒度なので
このような悪事を防げません。


551 :login:Penguin:2008/11/03(月) 10:52:29 ID:ruOzla90
つまり、アプリケーションというかhttpdとか大半のソフトはパスベースで実装が多いから、
ファイル名変更を監視しないと意図した通りの結果にならない点が欠点ですな。
もちろんパスの変更を監視して追尾するのが普通なのでしょうが。

だったらパスベースでもリネームを禁止すればOKというだけの話よねぇ・・・

552 :login:Penguin:2008/11/03(月) 11:33:14 ID:sSaKxD4K
>>551
>だったらパスベースでもリネームを禁止すればOKというだけの話よねぇ・・・
ラベルベースれあれ、パス名ベースであれ、「不要なリネームを禁止する。許可せざるを得ない場合は必要最小限になるようにする。」のが鉄則です。
適切なパス名が維持されているかどうかもセキュリティ(可用性、機密性)の一部を担うのです。


553 :login:Penguin ◆XkB4aFXBWg :2008/11/04(火) 18:39:44 ID:pc3b7sf0
ということで本日ToをAndrew Mortonにして、mmツリー用のパッチを投稿しました。

554 :login:Penguin ◆XkB4aFXBWg :2008/11/05(水) 13:55:22 ID:Qpz+YWFH
Linux Foundation Japanの第9回目のシンポジウムの案内が掲載されています。
カーネル開発に興味を持たれている方であれば、必見のイベントです。
(同時通訳もあります)
ttp://jp.linuxfoundation.org/?q=node/17

555 :デムパゆんゆん潜行中:2008/11/05(水) 17:07:03 ID:+zQj4pV8
せんとくん5.2
kernel 2.6.28-rc3 tomoyo patch rev 1776 ccstools rev 1765
起動できたアル これから強制アクセスモードに多分入る。

556 :login:Penguin ◆XkB4aFXBWg :2008/11/05(水) 17:14:14 ID:h1v+N/z6
>>553
> ということで本日ToをAndrew Mortonにして、mmツリー用のパッチを投稿しました。
ttp://lwn.net/Articles/305824/
です。mmツリーはAndrew Mortonが管理しているので、ToはAndrew Mortonに
なっています。今のところ返事がないですが、ここは別に返事がなくても問題なくて、
Andrew Mortonがmmに取り込み、アナウンスしてもらえばおkです。

-mm treeは、linux-nextに役目を渡すはずなのですが、今は両方とも存在していて、
内容が異なっているというのは、不思議といえば不思議、変と言えば変ですが、
そういうことはみんな気にしないようです。

557 :login:Penguin ◆XkB4aFXBWg :2008/11/05(水) 23:02:54 ID:CvCKIqS7
最近、このスレの上に表示されるキーワードに「たい」というのがあるのですが、
これは一体何のことなのでしょうか???
>キーワード【 James カーネル TOMOYO たい BoF マージ SELinux 】

558 :login:Penguin:2008/11/06(木) 07:30:31 ID:ZJs4XYDj
>>556
取り込まれると-mmにいれたよんて返事が関係者の所に届きます。
のでその連絡を待ちませう。

nextはgit pull出来る所しか追っかけてくれんので、
当分はこのままじゃないかねえ。


559 :login:Penguin ◆XkB4aFXBWg :2008/11/06(木) 08:27:39 ID:crWh35Sp
>>558
login:Penguinさん、ありがとうございます。
>取り込まれると-mmにいれたよんて返事が関係者の所に届きます。
>のでその連絡を待ちませう。
そうですね。
今までの流れからいって、-mmに入れてもらうことには問題なくて、
Andrew Morton様の作業待ちだと思っています。連絡がきたら、
ここで「速報」しますw

>nextはgit pull出来る所しか追っかけてくれんので、
>当分はこのままじゃないかねえ。
最後は自分でgit treeを持たないといけないのかもしれません。



560 :login:Penguin ◆XkB4aFXBWg :2008/11/06(木) 08:31:27 ID:crWh35Sp
日本時間の8:14にAndrewから3件コメントがついていました。
内容を確認して対応します。
でふぁ

561 :login:Penguin:2008/11/06(木) 11:55:30 ID:JJVoHUIE
>>557
単純に「たい」で検索してみると、結構「したい」とかたくさん出てますねぇ。
キーワード抽出のトーカナイザの癖かなんかで抽出されちゃってるのでは?

562 :login:Penguin ◆XkB4aFXBWg :2008/11/06(木) 17:43:46 ID:XIR+XKo6
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-November/000504.html

563 :login:Penguin:2008/11/06(木) 17:57:15 ID:JJVoHUIE
>>562
> 細かな経緯と状況は、2chのスレで読んでいただくとして、
ワロタ

564 :login:Penguin ◆XkB4aFXBWg :2008/11/06(木) 21:23:14 ID:vDC1/fDQ
>>563
もはやここはプロジェクトの正式ページなのだ。
(しかも自分のブラウザのホームページだったりして)

2ch最高!ありがとうひろゆき(すみません。ちょっと酔ってます)

565 :デムパゆんゆん潜航中:2008/11/06(木) 21:54:15 ID:ZXUeIfKo
夜はクラブ TOMOYO Linuxになるのか 指名料サービス料いるんだな。

それにしてもアンドリュ〜様の本気ワロタ
2.6.29でなんか大幅に変わるふいんきでありますが、
入れるなら2.6.28にねじ込みたいと思って急かしてるんかのぅ。

566 :login:Penguin ◆XkB4aFXBWg :2008/11/11(火) 18:50:00 ID:hgs0hJ+9
>>565
>それにしてもアンドリュ〜様の本気ワロタ
Andrew Mortonは、きっと同じ調子(同じくらいの本気さ)で、全てのmmの
パッチを見ているのです。空恐ろしさを感じさせるほどのパワーです。
>2.6.29でなんか大幅に変わるふいんきでありますが、
>入れるなら2.6.28にねじ込みたいと思って急かしてるんかのぅ。
「挑戦状」のやりとりは今日も続いていますが、なかなか厳しいです。
でも、多分終盤には入っています。反応をやめたらマージされなくなるわけで、
背水の陣です。

567 :login:Penguin ◆XkB4aFXBWg :2008/11/11(火) 18:54:42 ID:hgs0hJ+9
今から3年前の2005年の11月11日に、TOMOYO Linuxをオープンソースとして
公開しました。ちょうど3歳です。その日に、青山ダイヤモンドホールで開催された
VA Linux Kernel Conference 2005で講演をしました。そして、その同じホールで
開催されたPacSec2007でTOMOYOの紹介をしました。PacSec2007の発表は、
その翌年のFOSDEM2008など海外に向けた発信の出発点です。

ダウンロードして使ってみたり、記事やwebを読んでくれた人たちがいたから、
ここまでこれた気がします。ありがとうございました。(_ _) もう少しがんばります。

568 :login:Penguin ◆XkB4aFXBWg :2008/11/11(火) 19:06:30 ID:hgs0hJ+9
SDさんですが、ここだけの話、今月号の編集で何かトラブルがあったそうで、
現在連絡待ちが続いています。そろそろ今月締め切りの作業が収束するでしょうから、
近いうちに連絡いただけると思います。



569 :login:Penguin ◆XkB4aFXBWg :2008/11/14(金) 23:24:11 ID:bA1vLy0q
「挑戦状」への回答は続いていますが、なんとSF.jpでgitのサポートが始まりました。
ttp://sourceforge.jp/forum/forum.php?forum_id=16362

これでいつマージされても困らないんだがなぁ。

570 :login:Penguin:2008/11/18(火) 21:06:00 ID:4hHnbG1X
ttp://tomoyo.sf.net/ の TOMOYO Linux @SourceForge.jp のリンクおかしい


571 :login:Penguin ◆XkB4aFXBWg :2008/11/19(水) 00:04:42 ID:ggUNT3k8
>>570
>ttp://tomoyo.sf.net/ の TOMOYO Linux @SourceForge.jp のリンクおかしい
確認し、修正しました。どうもご指摘ありがとうございました。(_ _)




572 :login:Penguin:2008/11/19(水) 00:41:23 ID:6sRhTs6z
あ、ついでに書こうと思ってたことあったけどもう直されてたか…まぁいいや

せっかく英語のML作ったんならそっちのことも書いてあげたほうがいいのでは?



573 :login:Penguin ◆XkB4aFXBWg :2008/11/19(水) 00:47:23 ID:Cm2doabT
>>572
今ならオンラインなので、ついでに直します (^^v

574 :login:Penguin ◆XkB4aFXBWg :2008/11/19(水) 00:51:22 ID:Cm2doabT
と思ったのですが、資料の準備はともかくとして、明日の朝、
台湾に出発する準備がまるでできていないので、とりあえず
お気づきの点があればこちらに書いておいてください。時間がとれた
ところで対応します。

575 :login:Penguin ◆XkB4aFXBWg :2008/11/20(木) 10:25:00 ID:AJmY8Jms
会場に到着しました。日本との時差は1時間で、日本時間から1を引いたのが台湾の時刻に
なります。おもしろい発表があれば報告します。

576 :login:Penguin ◆XkB4aFXBWg :2008/11/20(木) 10:40:15 ID:AJmY8Jms
会議室は300人くらい入る部屋ですが、前のほうにパネルがかけてあって、
それを見て初めて FreedomHECがFreedom Hardware Engineer Conferenceの
略であることがわかりました(遅杉!)

577 :login:Penguin ◆XkB4aFXBWg :2008/11/20(木) 10:45:30 ID:AJmY8Jms
そう思ってプログラムを見ると、確かにハードよりの内容が多いです。(=_=;
ttp://freedomhectaipei.pbwiki.com/

まあ、しかしそこは呼ぶほうが悪いということで。(^^;
資料は鋭意作成中です・・・

578 :login:Penguin ◆XkB4aFXBWg :2008/11/20(木) 12:15:56 ID:AJmY8Jms
Junio Hamanoさんのgitの講演が始まりました。資料は、既にサーバに
載っています。
ttp://userweb.kernel.org/~junio/


579 :login:Penguin:2008/11/20(木) 13:10:21 ID:DqpqJe+a
>>576
MS系技術者だとWinHECって大きなイベントが毎年ありまふ。
ttp://www.microsoft.com/japan/whdc/winhec/default.mspx

というか、それに連動してつけられた名前だと思いまふ。

580 :login:Penguin ◆XkB4aFXBWg :2008/11/20(木) 13:53:35 ID:AJmY8Jms
>>579
なるほどそうでありましたか。情報ありがとうございまふ。

Hamanoさんとお話をしました。Hamanoさんは、あまり自分の写真を
掲載するのが好きでないそうで、ネットに1枚しか載せていないそうでふ。
奥さんといらしていますが、俳優の吉田栄作さんに似たイケメンでふ。

581 :login:Penguin ◆XkB4aFXBWg :2008/11/20(木) 16:04:39 ID:AJmY8Jms
ttp://picasaweb.google.com/haradats/FreedomHECTaipei2008#

582 :login:Penguin:2008/11/20(木) 22:42:20 ID:GW09grHM
いまどきTOMOYOはないだろ?
喰霊-零-あたりから名前貰ってくればいいのに

583 :login:Penguin:2008/11/21(金) 06:45:37 ID:5HGWyFKV
>>582
今だからこそ TOMOYO なんです。
http://hp.vector.co.jp/authors/VA022513/guchi.html#88


584 :login:Penguin:2008/11/21(金) 12:44:28 ID:Cu8DayX/
一過性のブームで終わる作品と、長く支持される作品の違いって、
若い人にはわからんからな。

585 :login:Penguin ◆XkB4aFXBWg :2008/11/21(金) 16:34:21 ID:qTGzTi6E
ということで、発表は二人とも無事に終わりました。(_ _) いい感じに燃え尽き中・・・
次は、Eee PCの発表でつ

586 :login:Penguin:2008/11/21(金) 16:51:34 ID:aN1Yugiw
>>585
おつかれさまでした


587 :login:Penguin ◆XkB4aFXBWg :2008/11/21(金) 17:07:32 ID:qTGzTi6E
>>586
ありがとうございます
説明もデモも意味は伝わったと思います
これがきっかけになって台湾やアジアの人たちに使ってもらえるとうれしいです

588 :login:Penguin:2008/11/21(金) 17:13:51 ID:aN1Yugiw
あちこち英語のフリーウェアのサイト見てると結構日本語よりも韓国語とか中
国語とかの翻訳を見かけるんだよね。

あっちで翻訳協力してくれる人がいるとひろまりやすくなるかもね。


589 :login:Penguin ◆XkB4aFXBWg :2008/11/21(金) 17:18:09 ID:qTGzTi6E
>>588
まだこの会議しか参加していないわけですが、やはり欧米とは何というか
のり、雰囲気が違います。(日本ともまた違います)
個人的な印象としては、地味にまじめに静かに取り組んでいる気がします。
すごいコアな人はそれほど多くないですが、利用している層は広く、人数も多分かなり
多いでしょう。おっしゃるように翻訳に協力してくれる人がでてきてくれたりすれば
そんなうれしいことはありません。

590 :LiveCDの中の人:2008/11/21(金) 18:15:56 ID:qTGzTi6E
ドライバの開発に関わっている人が多いためか、メインラインについて
積極的な人が多くてうれしくなります。興味は持ってもらえたようなので、
これをきっかけにアジア圏で広まって、あわよくばLKMLでも
掩護射撃してくれるといいなぁと妄想。

591 :login:Penguin:2008/11/25(火) 23:18:09 ID:/COg2hD9
確実ではないけれど、 bug にあたったかもしれないです。

なにか起動しようとすると

# ls
zsh: ls killed

みたいに出てきたので、とりあえず X をおとしてコンソールまできたんだがどうやら、 qingy も起動に失敗するらしく

INIT: Id "c3" respawning too fast: disabled for 5 minutes

となってます。

それで、 Call Trace とかが出てるのだけど
Call Trace:
[<ffffffff8038b28a>] ? find_next_domain+0x4ca/0x910

だとか、
Call Trace:
[<ffffffff80399f00>] ? ccs_init_audit_log+0x200/0xx5e0

やらなってる(TOMOYO まわりですよね?)。どうも、毎回 trace が変わってるぽいです。

これってディスクに log とれてるんですかね?
とれてなさそうなら、全力で写経しようと思うのですが。

;; というか、別のとこの影響かもしれませんけど…。直前に xorg.conf で
;; Disable "dri" として glxinfo を動かしてから変になったので nvidia の
;; ドライバのせいの可能性高そうですが。


592 :login:Penguin:2008/11/25(火) 23:38:38 ID:/COg2hD9
毎回 trace が変わってると書いたけど、どうも init が qingy の起動しようとすると上、
sshd にアクセスがあって audit log 書こうとすると下が出るみたいです。

ぱっと見、どちらにも共通してるのは

BUG: unable to handle kernel paging request at ffffffffffffffff と
RIP [<ffffffff80390839>] ccs_free+0x19/0x80

環境は Gentoo Linux ccs-sources-2.6.27-r2 AMD Athlon 64 3500+ です。

;; というかばればれだな、ぼく…
;; 夜食を食べおわったら写経しよう


593 :login:Penguin:2008/11/26(水) 08:29:30 ID:bee8LKX1
>>591
> 確実ではないけれど、 bug にあたったかもしれないです。
おや?

> Call Trace:
> [<ffffffff8038b28a>] ? find_next_domain+0x4ca/0x910
>
> だとか、
> Call Trace:
> [<ffffffff80399f00>] ? ccs_init_audit_log+0x200/0xx5e0
>
> やらなってる(TOMOYO まわりですよね?)。
TOMOYO の関数ですが、 ? が付いているので
このアドレスは信用できない(正しくない出力かもしれない)
ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source/arch/x86/kernel/traps_64.c#L86
ことを示しています。

> これってディスクに log とれてるんですかね?
panic() になっていなければ、 dmesg に残っているでしょうから、
dmesg > /tmp/dmesg.log みたいにすればとれると思います。

> BUG: unable to handle kernel paging request at ffffffffffffffff と
> RIP [<ffffffff80390839>] ccs_free+0x19/0x80
ccs_free() には過去に ccs_alloc() で割り当てられたアドレスか否かを
チェックする安全機構が備わっている
ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source/fs/realpath.c#L619
ので、 ccs_free() の中でこけるような処理は無いと思いましたが。

594 :login:Penguin:2008/11/26(水) 10:54:22 ID:w8bV+Ucu
>>593
> panic() になっていなければ、 dmesg に残っているでしょうから、
> dmesg > /tmp/dmesg.log みたいにすればとれると思います。

なにを起動しようとしても、 find_next_domain のほうの trace を出してこけ
ちゃいます。 新しいプロセスがいっさい作れなくなってます。

> > BUG: unable to handle kernel paging request at ffffffffffffffff と
> > RIP [<ffffffff80390839>] ccs_free+0x19/0x80
> ccs_free() には過去に ccs_alloc() で割り当てられたアドレスか否かを
> チェックする安全機構が備わっている
> ttp://tomoyo.sourceforge.jp/cgi-bin/lxr/source/fs/realpath.c#L619
> ので、 ccs_free() の中でこけるような処理は無いと思いましたが。

うーむ。ということはやはり、nvidia が壊してしまったんですかね…。一応、
普通のカーネルでも試してみます。




595 :login:Penguin:2008/11/26(水) 21:25:06 ID:bee8LKX1
> なにを起動しようとしても、 find_next_domain のほうの trace を出してこけ
> ちゃいます。 新しいプロセスがいっさい作れなくなってます。
/var/log/messages などにも残っているかもしれません。
grep "Call Trace:" /var/log/* とか試してみてください。

596 :login:Penguin:2008/11/26(水) 22:34:15 ID:w8bV+Ucu
Call Trace 残ってました。
けど、再現はできてないです…。
それでも一応 Trace はったほうがよいですか?


597 :login:Penguin:2008/11/27(木) 06:28:56 ID:M8Qsn/w3
>>596
一応お願いします。


598 :login:Penguin:2008/11/27(木) 16:36:21 ID:JCiw1Jom
>>597
本文が長過ぎるなどと言われて面倒だったので tomoyo-users のほうにあらためて投稿します。


599 :デムパゆんゆん:2008/11/27(木) 21:25:06 ID:6qtM5IMr
>>598
kernel 2.6.27 Xにバグがあった 2.6.28のどこかで修正入ったと思う。
厳冬に修正入ってなく 時間あれば本家のやつ 2.6.28でためしてみれ
あと 中の人がぷちヒントだしてるお
[tomoyo-users 515] Fedora 10 用カーネル
ttp://lists.sourceforge.jp/mailman/archives/tomoyo-users/2008-November/000514.html

ログ残ってないか またcronとかまわしてログに出ないかとか
こう書くと知代タンは悪くないと思われる 狂信者はまづ 犯人が知代でない理由を探すのだ。
[kernel] BUG: unable to handle kernel paging request at ffffffffffffffff でググったがわからん

600 :login:Penguin:2008/12/03(水) 04:23:03 ID:/K2hOhwt
学習モードにしてて quota_exceed になるくらいルールがたまってると
プロセス生成のパフォーマンスが悪くなる?


601 :login:Penguin:2008/12/03(水) 06:42:31 ID:WDHvO8i6
>>600
プロセス生成が何を指すかによりますが、
fork()/exit() のパフォーマンスには影響を与えません。
execve() のパフォーマンスはドメインの数の影響を受けますが、
ドメイン内のアクセス許可の数の影響はほとんど受けません。
プロセス生成後の処理(ファイルのオープンなど)であれば
quota_exceed になるくらい溜まると処理が遅くなる可能性があります。
quota_exceed になった場合、パターン化処理を行ってルールの数を
減らしてください。

また、 /proc/ccs/grant_log や /proc/ccs/reject_log からの
読み出しが行われていなかった場合もパフォーマンスに影響する
可能性があります。


602 :login:Penguin:2008/12/03(水) 07:02:31 ID:/K2hOhwt
>>601
なるほど。 アクセス許可をへらすと速くなりました。

あぁ /proc/ccs/grant_log と /proc/ccs/reject_log は見落としてました。
cat してやるとメモリ消費量が一気にへりました。


603 :login:Penguin ◆XkB4aFXBWg :2008/12/07(日) 10:08:13 ID:U4m0BVOw
LKMLへの13回目の投稿後の状況について、まとめてみます。

・意見やコメントは一通り収束しました。でも誰もackしてくれないので、
・Andrew Mortonに個別に相談してみたところ、
 「自分はセキュリティの専門家ではないからわからない(マージして良いか判断がつかない)」
 と言われました。そこで
・再びLKMLのほうで、「意見や問題があれば指摘してください。なければマージしてもらえませんか?」と
 投げました。
・すると、先週末これまでずっと黙っていたStephenからいくつかコメントや質問がつきました。
・さらに、何ヶ月かぶりでAl Viroによるコメントがつきました(但し、内容は「一体何度言ったら
 わかるんだ・・・)というもの)

という感じです。



604 :login:Penguin ◆XkB4aFXBWg :2008/12/07(日) 10:12:11 ID:U4m0BVOw
想像ですが、ずっと黙っていたStephenが発言したのは、「誰かackして欲しい」という
呼びかけに答えてくれたと思っています。直接、あるいは積極的にTOMOYOに関心はないと
思いますが、ackできるとしたら自分しかないと思ったんじゃないかと。
それがあたっているかどうかはわかりませんが、実際のところ多分、TOMOYOのような
内容についてそれを理解し、承認ができる人は非常に限られているのは事実です。



605 :login:Penguin ◆XkB4aFXBWg :2008/12/09(火) 00:40:13 ID:1zOxKD4k
12/8に、これまでの議論、検討の集大成とも言える投稿を行いました。


606 :login:Penguin ◆XkB4aFXBWg :2008/12/09(火) 00:44:32 ID:1zOxKD4k
今の状況を簡単におさらいしておきます。

現時点でmmにTOMOYOをマージする上で必要になる修正(つなぎ)は含まれていますが、
それはAndrew Mortonが好意で?いれてくれたもので、お墨付き(ack)してくれる人がなく、
肝心のAlの了解も得られていません。また、TOMOYO的には技術的な問題の存在も見えていました。

その後のStephen, Alらの発言により、mmに新たな修正(つなぎ)を入れてもらえると
期待しています。それも今度は、Al Viloが了解してもらって・・・。



607 :login:Penguin ◆XkB4aFXBWg :2008/12/09(火) 00:49:11 ID:1zOxKD4k
Alはきっと今でもTOMOYOやpathname-base関連の修正は認めたくないのだとは
思いますが、「Alが許容できない」ということを非常に長い時間かけて整理し、
それを回避した方法を過去の経緯と合わせて投稿したのが「集大成」の内容です。
スレッドは今アクティブであり、有識者であるStephenのコメントもついていますから、
「今度こそは」と思っています。

「つなぎ」が認められたら、すぐ引き続き「本体」を投稿します。それは、もうAlはとやかく
言えるものではなく、希望的にはStephenがAckしてくれるでしょう。そうすると
TOMOYOのmmへのマージが実現されます。



608 :login:Penguin ◆XkB4aFXBWg :2008/12/09(火) 00:55:38 ID:1zOxKD4k
Software Designのほうは、「TOMOYO Linuxを使ってLinuxの振る舞いを調べる」という
内容の記事を執筆しており、12/18発売の号に掲載される予定です(結構面白い内容だと思います)。
それ以外の企画については、編集部さんの調整結果待ちが続いていますが
動きがあれば報告します。

その他、「ビジネスコミュニケーション」という雑誌に2ページの記事を書きましたが、
ここのスレを読んでいる方にはほとんど新しい情報はありません。(T_T)

でふぁ

609 :login:Penguin ◆XkB4aFXBWg :2008/12/09(火) 19:05:08 ID:fwZOT/Dz
   / ̄ ̄\
 /   _ノ  \  ・・・返事きてないみたいだけど?
 |    ( ●)(●)               ____
. | U   (__人__)           /      \
  |   U ` ⌒´|           /─    ─   \
.  | U      }  \      / (●) (●)    \  まったく頭にくるアル
.  ヽ        }     \     |   (__人__)       |  
   ヽ     ノ       \   \   ` ⌒´      _/   
   /    く. \      \  ノ           \
   |     \  \    (⌒二              |
    |    |ヽ、二⌒)、      \         |  |

610 :デムパゆんゆん:2008/12/10(水) 04:43:25 ID:mPfR65JR

     -ーー ,,_
   r'"      `ヽ,__
   \       ∩/ ̄ ̄ ヽつ
  ノ ̄\ /"ヽ/ "   ノ   ヽi  申し訳ございませんでしたぁぁぁぁぁぁぁ!!!!!!!!
 |  \_)\ .\    >  < |\
 \ ~ )     \ .\_  ( _●_)\_つ
    ̄       \_つ-ー''''


611 :login:Penguin ◆XkB4aFXBWg :2008/12/10(水) 06:37:07 ID:/wJGT2oS


612 :login:Penguin:2008/12/11(木) 04:28:53 ID:n37MxJF4
せっかくはてなキーワードを活用しまくっているのだから、 リングも作ればい
いのになぁ、と思ったり、いっそ自分で作っちゃおうかなぁとか思ったり
でも、ロゴは作れそうにもないなぁとも思ったり


613 :login:Penguin ◆XkB4aFXBWg :2008/12/11(木) 10:19:27 ID:BkWkfi5V
>>612
> せっかくはてなキーワードを活用しまくっているのだから、 リングも作ればい
> いのになぁ、と思ったり、いっそ自分で作っちゃおうかなぁとか思ったり
> でも、ロゴは作れそうにもないなぁとも思ったり
はてなにリングという機能があるのですね。そぼくに知りませんでした。(^^;
いろいろ手が回らなくなっているので、もし良ければ作っていただければありがたいです。
(想像するに関連するキーワードをつなげられるようにするということですよね?)
ロゴについては、今、webやwikiにある画像では仕様があいませんか?
(はてなのキーワードの画像は台湾講演のときにカラーを作ってもらいました)

614 :login:Penguin:2008/12/11(木) 22:16:36 ID:zxXRBc2V
http://james-morris.livejournal.com/37005.html

securityサブシステムのメンテナーがJames Morrisになったとの事
で、過去の議論によると、セキュリティの仕組みを提案する時には、
そやつの目標やデザインの文書を併せて投稿してくれーという
ルールがあったらしいです。

というわけで、誰に Acked-by: をお願いするかという事に関しては、
James Morrisがターゲットになるような気がします。

すると、パッチの対象となるツリーは -mm ではなく security-testing に
なるかなぁ〜

615 :login:Penguin ◆XkB4aFXBWg :2008/12/12(金) 00:15:34 ID:duHtbqhp
>>614
なかなかくわしいですね!
実は#13のスレッド関連でStephenから(私信で)「今度はきっとJamesになるよ」と
教えてもらっていました。Chrisは最近ほとんど活動していなかったので納得ですし、
LFJで直接会ったことのあるJamesになるのは、tomoyo的には良いニュースだと思います。

mmとnextの関係は整理されていないですが、Jamesがメンテナになると
彼のgitに入れてもらうか、自分で立てて取っていってもらうかですね。
いずれにしてもAlが再び黙ってしまって困ったものです・・・(この「無視する」という
技は実に強力です)

616 :login:Penguin:2008/12/12(金) 00:47:54 ID:1Mh2bCRf
>>613
おっと、おいそがいしいところすみません。

キーワードというか、 TOMOYO について書いてるブログなんかの一覧をさっと
見れて便利だと思います。(集まればですが ^^;)

http://tomoyolinux.ring.hatena.ne.jp/

ということで、作ってみました。 はてなじゃなくても入れるみたいなのでお気
軽にどうぞ。 ロゴはこれで大丈夫ですか?



617 :login:Penguin ◆XkB4aFXBWg :2008/12/12(金) 01:01:06 ID:duHtbqhp
>>616
きっと、Planet SELinux
ttp://selinuxnews.org/planet/
みたいなものなのですね。作成、ありがとうございました。使ってみます。
ロゴは正方形にしないといけないのですね。キャラクタを使っていただくのは
問題ないのですが、リングっぽいロゴがあると良いように思いました。
(といってもまだリングがわかってないのですが(笑))

618 :デムパゆんゆん:2008/12/12(金) 11:34:31 ID:HEGK1bmO
>>608
ttp://gihyo.jp/magazine/SD/archive/2009/200901#toc
見あたらないお??

619 :login:Penguin ◆XkB4aFXBWg :2008/12/12(金) 13:00:18 ID:zKrerXoJ
>>618
>見あたらないお??

「探検隊」の記事は、12/13締め切りですが、それが発売されるのは
来月1/18で、「1月号」ではなくて「2月号」でした。(_ _;  スマソ
ちなみに、原稿提出してから「ゲラ」というのが送られてきて、それを
1、2往復して記事が確定します。

620 :login:Penguin ◆XkB4aFXBWg :2008/12/12(金) 21:03:01 ID:zxaf0DAd
Alが返事をしてくれないので、今日LKMLにこんな恐ろしいメッセージを投稿しています。(=_=; ブルブル

Subject: Re: [patch 04/11] vfs: introduce new LSM hooks where vfsmount is available.
Date: Fri, 12 Dec 2008 10:59:39 +0900
To: Al Viro

Al, please give us Acked-by response.
(patch refreshed for mmotm-2008-12-11-15-20).

Regards,

---
Subject: vfs: introduce new LSM hooks where vfsmount is available.
(以下省略)

621 :login:Penguin ◆XkB4aFXBWg :2008/12/12(金) 21:32:00 ID:zxaf0DAd
自分は昨日、一昨日と休みをとっていましたが、その間にJamesがAppArmorの関係者に
「TOMOYOからこんなパッチがでてるけど、AppArmor的にどうよ?」的メールが
送られていました。また、Jamesは「Alのackが必要だね」と大変わかりきったことを書いていますた。

たまにここで報告していますが、そうした私信(主に助言、アドバイス)は多くて、全てが
オープンで公開された議論というわけでもないです。tomoyo以外でもそうなんじゃないかと思います。

622 :デムパゆんゆん:2008/12/12(金) 22:41:30 ID:HEGK1bmO
>>619
ラ〜ジャ〜

アルビノとはもう痴話げんかだなw
あなたっていつもそう 都合悪くなったらすぐ居なくなる
なんであたしばかりなのよ と、そろそろとどめの泣き落とし降臨キボンヌ
しかしselinux陣営は中国共産党一党独裁体制みたい
反体制は粛正! アカい血潮漲らせ敵を殲滅せよ! 進め! 進め! みたいな感じか
ジェームスおぢちゃんはそういう所気にしているのかしらん
対抗馬 おながいしまつ 出てきてくだしあ(泣 みたいな
知代ちゃんも来年は負けずに 我々は米帝の許されざる横暴に断固として戦う!
ここに結集した同士と共にselinux陣営に革命的殲滅を行う事を声明する! とか。
決戦に備え年末は有馬温泉で決起集会であります いい湯だお。

623 :login:Penguin:2008/12/12(金) 22:52:00 ID:DrbgL+z1
>>622
ラベルベースにはラベルベースにしかできないことが、パス名ベースにはパス名ベースにしかできないことがあります。
ttp://sourceforge.jp/projects/tomoyo/docs/lfj2008-bof.pdf
現状の LSM は排他的ですが、殲滅のために争うのではなく、共存のための対話が必要です。


624 :デムパゆんゆん:2008/12/12(金) 23:48:37 ID:HEGK1bmO
>>623
第3者の立場から見てると共存目指すと言うよりLSMの中で内ゲバしてるみたいだお
アルビノが要求している事 満たしてるのか ただのいやがらせなのか
それとも知代ちゃん陣営が要求に届いてないのか とか
本人になんで答えてくれないと聞くよりも
まだ気に入らない所あるのか やるべき事あるのか
まわりにいる人間に交渉してもらえないかとか言った方がいいような気もする
やってる感じもするけどもう少しアルビノに近い人に交渉するとか
個人的にアルビノは東洋人嫌いのような感じもするが
今のままでは平行線のママであります ママァ
共存と対話目指すなら福田元総理がやったような全方位土下座外交であります
中間管理職は怒ったらいかん 怒ったらいかん ていうくらい大変だお

625 :login:Penguin ◆XkB4aFXBWg :2008/12/16(火) 07:34:09 ID:U9SREEP6
信頼すべき情報筋によると、LKMLでしばらく発言がなく、休暇中?と
思われていたAl Viro氏は昨日久々にLKML上で発言したようです。
(外国の人は結構こうして数週間単位でどこかに行くことが珍しくありま温泉)



465 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)