2006年2月23日

[selinux-users:01441] Re: ラベルvsパス名


中村です。

On Wed, 22 Feb 2006 20:38:03 +0900
Tetsuo Handa wrote:
> Yuichi Nakamura wrote:
> http://tomoyo.sourceforge.jp/en/kickstart/
> "The architecture of TOMOYO Linux." にも書いてありますが、

> SELinux assigns one LABEL to one or more files, and the administrator grants
> permissions using the LABEL (i.e. 1-or-more-files-at-a-time basis).
> という構造のため、昔のように audit2allow で片っ端から拾っていくと
> どんどん OR (論理和)されてしまい、結局不必要なファイルへの
> アクセスを認めてしまいます。

なるほど、SELinuxの実装は自動生成に適さない、ということですね。

>1個のiノードに複数のラベルを割り当てできるようになれば、
>状況は改善するでしょう。

海外さんが言っていた議論を発見しました。
http://marc.theaimsgroup.com/?l=selinux&m=110539913519557&w=2
で、Multiple Security Contextがなぜないの?
とRedhat(たぶん)のIvanさんから提言されています。

で、長々と続いて…
Multiple Security Contextが
駄目な理由がNSAの中の人(Smalleyさん)から示されます。
http://marc.theaimsgroup.com/?l=selinux&m=110557207605125&w=2
http://marc.theaimsgroup.com/?l=selinux&m=110563173929748&w=2
要約すると「情報フロー分析が大変になるから」です。
allow D1 F1:file read;
allow D2 F2:file read;
という文からは、D1->D2の情報フローがないように見える。
が、Multiple Security Contextを許すと以下が起こる
ファイル fooに「F1,F2」タイプを付与すると、
ファイルfoo経由でD1<->D2の間に情報フローが発生してしまう。
情報フロー分析をしようとすると、結局全ファイルを探索する必要があり大変。

個人的に思ったこと。
設定が楽になることを考えると、情報フロー分析の手間ぐらいどうでもいいんじゃ…
ていうか、D1/D2のTCP/UDPの制御できてないじゃん…

Ivanさんからcreateconなる折衷案が示されます。
http://marc.theaimsgroup.com/?l=selinux&m=110557782605417&w=2
http://marc.theaimsgroup.com/?l=selinux&m=110626101825826&w=2
Smalleyさんの反応はよさげです。
http://marc.theaimsgroup.com/?l=selinux&m=110563943003308&w=2

が、createconは、この後どうなったのでしょう。知ってますか?>誰か

にしても、この議論見てると、
NovellがAppArmorに走った気持ちが分かる気がします。

---
Yuichi Nakamura

投稿者 xml-rpc : 2006年2月23日 02:21
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/32074
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。