2006年2月22日

[selinux-users:01433] Re: ラベルvsパス名

LIDSを使っている人間ではないですが、
卒論を書いていて思ったことを少々。

ラベルベースというのは、考え方を変えると
ラベルによって抽象化したアクセス制御が書けるということなのだと思います。

LIDSでもAppArmorでも、
すべての人がフルスクラッチでポリシーを書けるというのは、

理想でしかなくて、現実的でないと思います。
もちろん、セキュアOSというものがサーバ目的のみに使われるべきだと思われるなら別ですが…。

自分の目指しているセキュアOSの利用というのは、
一定の知識を持たない人にでも使ってもらいたいと思っています。
そうなってくると、玄人の書いたものを再利用するというのも一つの手段になります。

再利用という観点で考えるとラベルベースのほうが適している気もします。
すべてのアクセスの流れを意識することなく、
あるラベルに関して付与されている権限がどんなものであるかを知るだけで、
通常の運用では事足りる=「ラベルベースは分かりやすい」ということなのではないでしょうか。
アクセス粒度が荒いうちは実名ベースで把握できても、
アクセス粒度が細かくなればなるほど、アクセスのパターンは増える一方であるため、
把握が難しくなります。
アクセスを抽象化し、まとめるためにラベルは必要なのではないでしょうか。
もちろん、中村さんの挙げたシェル変数などの手段を用いてマクロ置換を行えば、
LIDSなどでもラベルベースのEmulationは行えるでしょうが、
chconを使って気軽にアクセス権限を変更する、といった利用はできません。
(ユーザレベルでpublic_html以下に置かれているファイルに対して権限を設定など)
httpd_user_content_t, _script_exec_t, _script_rw_tといった
ラベルによって抽象化されることで、比較的簡単にアクセス権限を設定できる気がします。

中村さんの言う一つのファイルに、というのは非常に同意です。
一つのファイルに一つのラベルしか付与出来ないために、
システム全体で、あるラベルがどのリソースに付与されているかを把握していないと
コンフリクトを起こす可能性があるために複雑さが増しているような気も。
この件に関しては、SELinux Hacksの方で話題に上げたことがありましたが、
海外さんの挙げられたMutiple Security Contextには興味があるので、
調べてみようと思っています。

Yuichi Nakamura wrote:
> 中村です。
>
> こんな記事が出てました。
> http://www.itmedia.co.jp/enterprise/articles/0602/20/news059_2.html
> Redhatの人へのインタビューですが、AppArmorの名前が出てきました。
> Redhatの警戒(?)ぶりを見てみると
> AppArmorが欧米では流行っていくかもしれませんね。
>
> AppArmor,LIDS,TOMOYO, SELinux Poilcy Editorでは、
> わかりやすさのために,
> ラベルでは無くパス名ベースのアクセス制御をしてます。
> 近頃、
> 「パス名ベースはなぜ分かりやすいとされているのか?」
> という疑問が生じてきました。
>
> LIDSを使っていた時代、
> 「少し慣れてくると、ラベルを使いたくなる」
> というのも思い出してきました。
>
> 以下例で(よい例じゃないかもしれませんが)。
> # /sbin/lidsconf -A -s /usr/sbin/httpd -o /var/www -j READONLY
> とやったりしますが、
> ホームページのパスが変わったりしてくると、
> 「/var/www」というのをシェル変数で置き換えて
>
> # /sbin/lidsconf -A -s /usr/sbin/httpd -o $HOMEPAGE -j READONLY
>
> のように、「$HOMEPAGE」のようにして、
> $HOMEPAGEを、環境に合わせて置き換える、というのをやったことがあります。
> この場合、「$HOMEPAGE」がいわば、ラベルみたいな役割を果たすことになります。
> SELinux Policy Editorでも、これ的なことをやりたくなったことがあります。
>
> LIDSとかTOMOYO使ってて、ラベル使いたくなったことってありますか?>皆様
>
>
> SELinuxのラベルの問題点は、
> もしかしたら、ファイルに一つのラベルしか付与できないというところにあるのかも?
>
> ------
> Yuichi Nakamura
>


--
いつも心にsukajanを
Yuta Yamamoto

投稿者 xml-rpc : 2006年2月22日 01:50
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/32011
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。