2006年4月26日

[selinux-users:01538] Re: ラベル・パス名


中村@私も勉強会行けない です。

On Wed, 26 Apr 2006 11:09:35 +0900
"Shintaro Fujiwara" wrote:
> SELinuxにはラベルがあり、パスより優れているそうですが、
> パスのほうが優れている点が2点有るそうです。
> それは、同一フォルダ内にいくつかのラベルがついているときと、

これはすぐ分かりました。
答えは講演までの秘密で(^^;

>fsckのときだそうです。
fsckですか。なんだろう。

lkmlでのAppArmor(Novellの人々) vs SELinux(NSA,Redhat)
の大議論↓を見てると、
http://marc.theaimsgroup.com/?t=114546971700006&r=1&w=2

SELinux側は、
「パス名は全くお話にならない」
とずーーっと言ってます。
思想的な理由ではなく、技術論としてお話にならないと。

以下が主な理由なようです。
- ポリシが分析できないので、セキュリティホールが混入する(これが一番根本的な理由)
つまり、重要データにアクセスできる経路を特定できないので、
 重要データを守れているつもりが、実は抜け道があるという最悪の事態になる。
- Russellと同じく、「同一フォルダ内にいくつかのラベルがついているとき」

けど、皆を説得しきれてないように思えます。


---
Yuichi Nakamura

投稿者 xml-rpc : 2006年4月26日 23:29
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/35505
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。