2006年2月23日

[selinux-users:01440] Re: ラベルvsパス名

海外です。

>>海外さんの挙げられたMutiple Security Contextには興味があるので、
>>調べてみようと思っています。
>
> 過去に、 SELinux 用のポリシーの生成を目指したことがあります。その時の論文が
> http://sourceforge.jp/projects/tomoyo/document/nsf2003.pdf
> http://sourceforge.jp/projects/tomoyo/document/nsf2003-en.pdf

> なのですが、様々な障壁にぶつかり、結局実現できませんでした。
> その中の障壁の1つが「1個のiノードに1個のラベルしか割り当てられないので
> ハードリンクがあると望んだ通りにラベル付けできない」というものでした。
> 1個のiノードに複数のラベルを割り当てできるようになれば、
> 状況は改善するでしょう。

一応、本家でのスレッドを貼っておきます。
「Multiple contexts」というスレッドがその議論になります。
http://www.nsa.gov/selinux/list-archive/0501/index.cfm#10057

確か、inodeに typeA と typeB という2つのタイプが付与されていた場合に、
ドメインに対するアクセス許可は typeA と typeB のどちらを適用するべきか
曖昧になってしまうという問題があり、結局採用はされなかったように記憶し
ています。
(但し、斜め読みなのでどこまで正確かはわかりませんが)

割り当てたタイプが、どのドメイン用なのかを情報として保持していれば可能
かもしれませんが、これってACLですよね…。
--
KaiGai Kohei

投稿者 xml-rpc : 2006年2月23日 01:34
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/32072
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。