hshinjiの日記

2009-11-12 はてぶを初めてからちょうど4年

[]TOMOYO Linux 1.7.1がリリース

昨日、TOMOYO Linux 1.7.1がリリースされました。

このTOMOYO LinuxOSSとしてリリースされたのが4年前の11月11日です。

私がこのはてぶを開始したのがその次の日の11月12日で、その日にTOMOYO Linuxに触れています。その時はここまでTOMOYO Linuxに関わるとは思ってもいませんでしたね。


[]TOMOYO GUI on Mandriva Linux 2010

TOMOYO Linuxがつぶやき始めましたが、その中に「Mandriva Linux 2010 is Finally Out with TOMOYO Linux」と言うのがありました。

「ふ〜ん。」と思ってそこにあるリンク先を見てみると、

Mandriva Control Center also bring improvements in tools: new netprofile management tool, gui for Tomoyo security framework, and parental control.

とあるではないですか。「以前作っていたEclipseベースのGUIかな?」と思ってもう少し調べてみるとこんな記事が見つかり、どうもEclipseベースではないようです。


ということで、Mandriva Linux 2010を動かして試してみます。


Mandriva Linux 2010のインストール

公式サイトから、インストールDVDのイメージをダウンロードします。

後は略。


TOMOYO GUIインストール

デフォルトでは、TOMOYO GUIインストールされていませんので、インストールから始めます。


まずメインメニューから「ツール」→「システムツール」→「コンピュータを設定」を選択(もしくはパネルの「コンピュータを設定」アイコンをクリック)してコントロールセンターを開きます。

f:id:hshinji:20091112013423p:image


そして「RPMインストールアンインストール」を選ぶと「ソフトウェアの管理」が開きます。

f:id:hshinji:20091112014022p:image


左上のプルダウンメニューが「GUIのあるパッケージ」となっていれば、「すべて」に変更してやります。

f:id:hshinji:20091112014457p:image


右の「検索対象」に「tomoyo-gui」と入力して検索すると、パッケージが表示されます。

f:id:hshinji:20091112014600p:image


後は、パッケージを選択して「適用」ボタンを押すと、関連するパッケージも一緒にインストールされます。

f:id:hshinji:20091112014852p:image


インストール完了後は、一旦コントロールセンターを終了します。


TOMOYO GUIを使ってみる(初期化

再度、コントロールセンターを起動し、左のメニューから「セキュリティ」を選択すると、「Configure TOMOYO Linux policy」という項目が追加されているので、それを選択します。

f:id:hshinji:20091112015704p:image


コントロールセンター内でTOMOYO GUIが動作しますが、ポリシーはまだないので、初期化するかどうか聞いてきます。

f:id:hshinji:20091112020518p:image


初期化が完了すると、再起動するように促されるので、再起動してやります。

f:id:hshinji:20091112020259p:image


TOMOYO GUIを使ってみる(ポリシー設定)

ふたたびTOMOYO GUIを起動すると、こんどはドメインが出来上がっています。

f:id:hshinji:20091112030532p:image


また、例外ポリシーも出来上がってます。

f:id:hshinji:20091112030524p:image


「Help」のタグを開いてみると、誇らしげなTOMOYOペンギンがあらわれます。いいですね〜。

f:id:hshinji:20091112031311p:image


「All domains」のタグでドメインを選択(ShiftキーやCtrlキーを使って複数選択も可能)すると、各ドメインの詳細が表示されます。

f:id:hshinji:20091112032042p:image


右端にはドメインのプロファイルがプルダウンメニューで選択できるようになっています。

f:id:hshinji:20091112032045p:image


以下は、いくつかをLearningモードにして再起動した結果で、Disabledモード以外のドメインが強調表示され、学習した結果が下に表示されます。(強調されているドメインは、「Active domains」タブで見ることが出きるようになります)

f:id:hshinji:20091112033958p:image


学習した結果にマウスを持っていくとアンダーラインが表示され、

f:id:hshinji:20091112035446p:image

そこをクリックすると、「編集」か「削除」を選べます。

f:id:hshinji:20091112035445p:image

「編集」を選ぶと編集画面が表示され、そこで修正することができます。

f:id:hshinji:20091112035444p:image


使ってみて

GUITOMOYO Linuxのポリシー編集作業が行えるのはいいですね。ccs-editpolicyは便利ですが、初めての人にはGUIであるというだけで抵抗感は少なくなると思います。

ただ、ポリシーの修正や削除はできても、追加ができないのはちょっとやりにくいですね。

まあ、そのうち改善されるんでしょうが。

2009-10-01

[]ベンチついでに

UnixBenchを仮想化環境で使ってみたときに、ふと、以前TOMOYO Linuxに対してUnixBenchをとった結果を思い出した。


今年7月頃にとっておいたもので、カーネル2.6.26 + TOMOYO Linux 1.6.8を、OpenBlockS266とOpenMicroServerで計測。

やっていることは、

  • ファイルとネットワーク関連のアクセスコントロールを有効にしたもの
  • 全てのアクセスコントロールを有効にしたもの

TOMOYO Linuxを組み込んでいない素のカーネルと比較してます。一部計測できなかったものもあったので、計測できたものだけ載せます。

また、見にくいので、素のカーネルに対する比のみ。要望があれば値も出します。

OpenBlockS266

テスト項目file+netall
Dhrystone 2 using register variables 99.99% 99.98%
Double-Precision Whetstone 100.00%100.00%
System Call Overhead 92.68% 92.73%
Pipe Throughput 86.75% 88.92%
Pipe-based Context Switching 76.68% 80.92%
Process Creation 98.25% 98.79%
Execl Throughput 85.48% 77.11%
File Read 1024 bufsize 2000 maxblocks 88.07% 88.05%
File Write 1024 bufsize 2000 maxblocks 99.53% 98.55%
File Copy 1024 bufsize 2000 maxblocks 89.03% 88.85%
File Read 256 bufsize 500 maxblocks 81.59% 82.16%
File Write 256 bufsize 500 maxblocks 97.83% 98.71%
File Copy 256 bufsize 500 maxblocks 83.61% 84.69%
File Read 4096 bufsize 8000 maxblocks 95.03% 93.73%
File Write 4096 bufsize 8000 maxblocks100.39% 93.02%
File Copy 4096 bufsize 8000 maxblocks 91.08% 88.42%
Arithmetic Test (type = short) 99.96% 99.95%
Arithmetic Test (type = int) 99.96% 99.95%
Arithmetic Test (type = long) 99.96% 99.95%
Arithmetic Test (type = float) 100.28%100.54%
Arithmetic Test (type = double) 99.81% 99.80%
Arithoh 99.96% 99.95%
Dc: sqrt(2) to 99 decimal places 98.22% 98.02%
Recursion Test--Tower of Hanoi 99.97% 99.96%

メモリ素のLinuxfile+netall
Mem: total (注) (kB)63,05262,96862,968
Mem: used (kB)12,22012,97613,048
Mem: free (kB)50,83249,99249,920
Mem: buffers (kB)128132132

注) rootfsイメージをメモリ(64MB)上に展開しているので、TOMOYO Linuxを使うとメモリトータルは少し小さくなります。


ポリシファイルfile+netall
domain_policy.conf: size 32,120 75,614
domain_policy.conf: line 986 3,108
exception_policy.conf: size 10,163 10,163
exception_policy.conf: line 292 292
system_policy.conf: size 0 212
system_policy.conf: line 0 6

/proc/ccs/meminfo file+netall
Shared: 20,480 20,480
Private: 24,576 53,248
Dynamic: 608 608
Total: 45,664 74,336

OpenMicroServer

テスト項目file+netall
Dhrystone 2 using register variables 100.26%100.26%
Double-Precision Whetstone 107.93%107.93%
System Call Overhead 99.57% 99.57%
Pipe Throughput 68.40% 68.51%
Pipe-based Context Switching 79.30% 77.61%
Process Creation 105.53%105.54%
Execl Throughput 91.59% 84.79%
File Read 1024 bufsize 2000 maxblocks 100.22%101.29%
File Write 1024 bufsize 2000 maxblocks126.51%126.20%
File Copy 1024 bufsize 2000 maxblocks 108.30%109.82%
File Read 256 bufsize 500 maxblocks 104.69%104.89%
File Write 256 bufsize 500 maxblocks 134.45%134.47%
File Copy 256 bufsize 500 maxblocks 112.93%112.93%
File Read 4096 bufsize 8000 maxblocks 101.37%103.19%
File Write 4096 bufsize 8000 maxblocks114.92%115.01%
File Copy 4096 bufsize 8000 maxblocks 106.33%108.59%
Arithmetic Test (type = short) 100.21%100.21%
Arithmetic Test (type = int) 100.21%100.21%
Arithmetic Test (type = long) 100.20%100.21%
Arithmetic Test (type = float) 99.64% 99.64%
Arithmetic Test (type = double) 99.80% 99.81%
Arithoh 100.20%100.21%
Dc: sqrt(2) to 99 decimal places 103.16%102.98%
Recursion Test--Tower of Hanoi 100.14%100.14%

メモリ素のLinuxfile+netall
Mem: total (kB)126,636 126,544 126,544
Mem: used (kB)13,928 14,764 14,820
Mem: free (kB)112,708 111,780 111,724
Mem: buffers (kB)120 120 120

ポリシファイルfile+netall
domain_policy.conf: size 32,120 74,502
domain_policy.conf: line 986 3,108
exception_policy.conf: size 10,245 10,245
exception_policy.conf: line 294 294
system_policy.conf: size 0 212
system_policy.conf: line 0 6

/proc/ccs/meminfo file+netall
Shared: 20,480 20,480
Private: 24,576 53,248
Dynamic: 640 640
Total: 45,696 74,368

結果

一部、素のカーネルよりも高速になると結果が出てしまっているもの(特にOpenMicroServerのファイル関連)ものはありますが、

この結果以外の他の組込み機器の結果も含めてみると、

  • TOMOYO Linuxを使うことにより、Pipe Throughput、Pipe-based Context Switching、Execl Throughputのパフォーマンスが落ちる。
  • 特に、Execl Throughputは、ポリシーサイズが大きくなるにつれ、パフォーマンス低下が大きくなる。

という傾向になりました。

2009-07-30

[][]組み込み機器でTOMOYO Linuxを使う

ThinkITに記事を書きました。

今回はTOMOYO Linux関連です。

私は5回シリーズの最終回の担当で、TOMOYO Linuxと組込み機器の関係を書いています。

2009-06-11

[][]TOMOYO Linuxが追加されたカーネル2.6.30が正式リリース!

昨日、TOMOYO Linuxが組み込まれたカーネル2.6.30が正式にリリースされました! (Changelog)

メインライン化記念の勉強会&懇親会には、余裕で間に合いましたね。


TOMOYOチームの皆様、おめでとうございました&一先ずお疲れ様でした。

これからもメンテナンスや機能追加など(そのほかいろいろと)、大変でしょうが、がんばってください。私も今後も応援していきますので。

haradatsharadats 2009/06/11 11:13 どうもありがとうございます。懇親会は100名を超えましたが、登録しないで参加するつもりの方も少なからずあるような気がして、幹事としては悩ましいです。

「いろいろ大変(笑)」ですが、これからもマイペースで頑張りますので、どうぞこれからもよろしくお願い致します。