2006年2月22日

[selinux-users:01439] Re: ラベルvsパス名


藤原@久々の登場 です。

なんだか、むずかしくてついて行けないんですが、

僕は、システム管理者の端くれですが、セキュアOSは何でもいいです。
実は何十万円もする商用OS(Hizardです)も使えるんですが、
SELinux使ってます。orz

でも、明日は何使ってるかはさだかではありません。

自分流に激しく(ともいえないけど)カスタマイズして使いたいので、
SELinuxの概念は大好きです。
一度決めたら、かたくなに守り通すところもいいです。
柔軟性がないかと言えば、
違うドメインの中にもファイルタイプ遷移を使って潜り込ませることができるので、
あるんじゃないかと思ってましたけど。

ああ、お話の前提を忘れてました。
広く一般にひろめる事ができるかということで言うと、SELinuxはやはり不向きかもしれませんね。
まず、名前がダメだよね。かたすぎる。でも自分にはそれも魅力だったりして。

ということで、むずかしい話しはわからんので、
発音した感じから私の中で順番を付けました。発表します。

1位 AppArmor-すごくかっこいい(いいイメージがわいてくる:目新しさ半分ですけど)。
2位 LIDS-軽快で、こきみよく、前向きな感じがする(歯茎の上に力いっぱいつけて放すとベスト)。
3位 TOMOYO Linux-ノスタルジックな感じ(80年代?)、「トゥモウヨゥ」と発音せよ。
あちらの人とも話せそう。So, who's TOMOYO ? なんちゃって...日本のアピールにもなるし。
4位 SELinux-どうもすいません、って感じ。何か突っ込もうもんなら、えらい剣幕でどなられそう。
っていうか、本場の人はプライド高そうなのは確か。

さて、一般に広まるのはどれなんでしょうか。
LIDSをやりかけですが、忙しくなってきてやりきれてない...


On Wed, 22 Feb 2006 20:38:03 +0900
Tetsuo Handa wrote:

>  半田@パス名賛成派です。
>
> Yuichi Nakamura wrote:
> > おっしゃる通り、SELinuxの実装だと、
> > ラベルのコンフリクトが大問題ですね。
> > ファイルのラベルを変えてしまうと、
> > そのファイルにアクセスしている他のドメインがアクセスできなくなってしまう。
> http://tomoyo.sourceforge.jp/en/kickstart/
> "The architecture of TOMOYO Linux." にも書いてありますが、
>
> SELinux assigns one LABEL to one or more files, and the administrator grants
> permissions using the LABEL (i.e. 1-or-more-files-at-a-time basis).
> という構造のため、昔のように audit2allow で片っ端から拾っていくと
> どんどん OR (論理和)されてしまい、結局不必要なファイルへの
> アクセスを認めてしまいます。
>
> A strong agreement on LABEL assignments and DOMAIN divisions is essential
> between policy suppliers (policy provider who likely has developed applications,
> and maybe highly skilled administrators) and policy users (the administrators).
> Attempts to mix partial policies without this agreement annoy the administrator.
> パス名の扱いに関しては既に供給者側も利用者側も合意できているのに対し、
> ラベルやドメインの扱いに関してはまだ合意に達していません。
> これを合意させるのは大変な労力です。(ある人が規則を決めたら、
> 残りの人はその規則を遵守しなければいけないので、争いになるでしょう。)
>
> > SELinuxのラベルの問題点は、
> > もしかしたら、ファイルに一つのラベルしか付与できないというところにあるのかも?
> まさに、その通りですね。
>
> > 海外さんの挙げられたMutiple Security Contextには興味があるので、
> > 調べてみようと思っています。
> 過去に、 SELinux 用のポリシーの生成を目指したことがあります。その時の論文が
> http://sourceforge.jp/projects/tomoyo/document/nsf2003.pdf
> http://sourceforge.jp/projects/tomoyo/document/nsf2003-en.pdf
> なのですが、様々な障壁にぶつかり、結局実現できませんでした。
> その中の障壁の1つが「1個のiノードに1個のラベルしか割り当てられないので
> ハードリンクがあると望んだ通りにラベル付けできない」というものでした。
> 1個のiノードに複数のラベルを割り当てできるようになれば、
> 状況は改善するでしょう。
>

投稿者 xml-rpc : 2006年2月22日 22:39
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/32057
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。