TOMOYO 리눅스

svn.osdn.net/svnroot/tomoyo/

운영 체제 리눅스 종류강제적 접근 통제라이선스 GPL v2웹사이트tomoyo.osdn.jp

TOMOYO 리눅스는 강제적 접근 통제(MAC)를 구현한 리눅스 커널 보안 모듈이다.

개요

유명한 만화 캐릭터의 이름을 딴 TOMOYO는 리눅스를 위한 MAC 구현이며 시스템의 보안을 향상시키는 것 외에도 순수한 시스템 분석 툴로도 유용하게 사용될 수 있다. 이것은 2003년 5월에 출시되었으며 2012년 5월까지 NTT 데이터가 후원하였다.^[1]

TOMOYO 리눅스는 시스템의 행위에 초점을 맞춘다. TOMOYO 리눅스는 각 프로세스들이 자신의 목적을 달성하기 위해 필요한 행위와 자원을 선언하게 한다. 보호가 활성화되면 TOMOYO 리눅스는 관리자에 의해 허용된 행위와 자원으로 각 프로세스를 제한한다.

기능

TOMOYO 리눅스의 주요한 기능들은 다음과 같다:

시스템 분석
강제적 접근 통제를 통한 보안 향상
자동 정책 생성
간단한 문법
쉬운 사용법

역사와 버전

TOMOYO는 리눅스 버전 2.6.30(2009년 6월 10일)부터 리눅스 커널에 포함되었다.^[2] 이것은 SELinux, AppArmor 그리고 SMACK과 함께, 4가지 표준 LSM 모듈의 중 하나이다.

TOMOYO 리눅스 프로젝트는 리눅스 커널에 MAC을 제공하기 위한 패치로부터 출발하였다. TOMOYO 리눅스를 주류 리눅스 커널에 포팅하려면 리눅스 보안 모듈(LSM)에 대한 훅(hooks)들^[3]이 요구된다. 리눅스 보안 모듈은 특별히 SELinux와 이것의 라벨 기반 접근을 위해 설계되고 개발되었다.

그러나 TOMOYO 리눅스의 MAC 기능을 통합하기 위해서는 더 많은 훅(hooks)들이 필요하다. 따라서 이 프로젝트는 두 개의 병행되는 개발이 있다:

TOMOYO 리눅스 1.x, 오리지널 버전
- 의도적으로 비표준 훅을 사용한다
- 완전한 기능의 MAC
- 리눅스 커널의 패치로서 배포됨 – 버전이 1.x이므로 LSM에 의존하지 않지만, 리눅스 커널 2.4 뿐만 아니라 리눅스 커널 2.6에서 사용될 수 있다(2.6.11 부터).
- 최신 버전: 1.7.1

TOMOYO 리눅스 2.x, 주류 버전
- 표준 LSM 훅을 사용
- 적은 기능들
- 리눅스 커널 버전 2.6.30의 한 부분으로 통합되었다.
- 최신 버전: 2.5.0 (리눅스 커널 3.2에 포함되었다)

AKARI, TOMOYO 1.x 포크
- 표준 LSM 훅을 사용
- TOMOYO 1.x 보다 적지만 TOMOYO 2.x 보다는 많은 기능
- LSM으로 배포되어서, 커널의 재컴파일이 필요 없다.

같이 보기

강제적 접근 통제 (MAC)
SELinux
AppArmor

각주

↑ “TOMOYO Linux Home Page”. Tomoyo.osdn.jp. 2015년 5월 16일에 원본 문서에서 보존된 문서. 2013년 5월 23일에 확인함.
↑ “TOMOYO Linux, an alternative Mandatory Access Control”. 《Linux 2 6 30》. Linux Kernel Newbies.
↑ “TOMOYO #14 patch submission to LKML”. LWN.net.

외부 링크

Comparison chart of 1.x and 2.x Archived 2015년 11월 21일 - 웨이백 머신
Comparison chart of TOMOYO 1.x, 2.x, and AKARI Archived 2015년 5월 18일 - 웨이백 머신
TOMOYO Linux project Archived 2016년 6월 4일 - 웨이백 머신
TOMOYO Linux at Embedded Linux Wiki
LWN : TOMOYO Linux and pathname-based security
Tomoyo – Debian Wiki
TOMOYO Linux – ArchWiki

리눅스 커널

조직

리눅스 커널	리눅스 재단 리누스의 법칙 타넨바움 토발즈 논쟁 리눅스 리브레 턱스 리나로 GNU GPL v2 menuconfig 커널 이름 리눅스 비판
지원	개발자들 리눅스 프로그래밍 인터페이스 kernel.org LKML 리눅스 컨퍼런스 사용자들 리눅스 사용자 그룹 (LUG)

기술

디버깅

시작 프로세스

vmlinux
System.map
dracut
initrd
initramfs

ABIs

리눅스 기본 규격
x32 ABI

APIs

사용자 공간

FS, 데몬	devfs kernfs debugfs procfs sysfs systemd udev Kmscon
래퍼 라이브러리	C 표준 라이브러리 glibc uClibc Bionic libhybris dietlibc EGLIBC klibc musl Newlib libcgroup libdrm libalsa libevdev

커널 부분

시스템 호출 인터페이스	POSIX ioctl select open read close sync ... 유닉스만 futex epoll splice dnotify inotify readahead ...
커널 내부	ALSA DRI Video4Linux New API 크립토API

리눅스 커널
구성요소

커널 모듈
BlueZ
cgroups
콘솔
bcache
장치 매퍼
dm-cache
dm-crypt
DRM
EDAC
evdev
커널 동일 페이지 병합 (KSM)
LIO
프레임버퍼
LVM
KMS 드라이버
넷필터
Netlink
nftables
Network scheduler
perf
SLUB
zram
zswap

장치 드라이버

initramfs
kexec
kGraft
kpatch
Ksplice

변종들

슈퍼컴퓨터
- INK
실시간 시스템
- RTLinux
- RTAI
- Xenomai
MMU-less
- μClinux
- PSXLinux
- DSLinux

가상화	하이퍼바이저 KVM 젠 OS-수준 가상화 Linux-VServer Lguest LXC OpenVZ 다른 L4Linux ELinOS MkLinux coLinux

리눅스 채택

리눅스의 사용 범위	데스크톱 임베디드 클라이언트: LTSP Thinstation 서버: LAMP LYME/LYCE
채택자	리눅스 채택자들 목록 리눅스의 상용 소프트웨어