2006年2月22日

[selinux-users:01432] ラベルvsパス名


中村です。

こんな記事が出てました。
http://www.itmedia.co.jp/enterprise/articles/0602/20/news059_2.html
Redhatの人へのインタビューですが、AppArmorの名前が出てきました。
Redhatの警戒(?)ぶりを見てみると
AppArmorが欧米では流行っていくかもしれませんね。


AppArmor,LIDS,TOMOYO, SELinux Poilcy Editorでは、
わかりやすさのために,
ラベルでは無くパス名ベースのアクセス制御をしてます。
近頃、
「パス名ベースはなぜ分かりやすいとされているのか?」
という疑問が生じてきました。

LIDSを使っていた時代、
「少し慣れてくると、ラベルを使いたくなる」
というのも思い出してきました。

以下例で(よい例じゃないかもしれませんが)。
# /sbin/lidsconf -A -s /usr/sbin/httpd -o /var/www -j READONLY
とやったりしますが、
ホームページのパスが変わったりしてくると、
「/var/www」というのをシェル変数で置き換えて

# /sbin/lidsconf -A -s /usr/sbin/httpd -o $HOMEPAGE -j READONLY

のように、「$HOMEPAGE」のようにして、
$HOMEPAGEを、環境に合わせて置き換える、というのをやったことがあります。
この場合、「$HOMEPAGE」がいわば、ラベルみたいな役割を果たすことになります。
SELinux Policy Editorでも、これ的なことをやりたくなったことがあります。

LIDSとかTOMOYO使ってて、ラベル使いたくなったことってありますか?>皆様


SELinuxのラベルの問題点は、
もしかしたら、ファイルに一つのラベルしか付与できないというところにあるのかも?

------
Yuichi Nakamura

投稿者 xml-rpc : 2006年2月22日 01:06
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/32009
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。