2006年4月27日

[selinux-users:01540] Re: ラベル・パス名


Ok,

実は、Russell と話をしたのは、
歩いている最中で、(大体いつもそんな感じ)
本当に私が実力者ならうなずくか、反論するか
出来たんですが、深い話が出来ないんで、

日本人の悪い癖で、へー、そうなんだ、ふーん
てな感じでしか相槌をうてなくて...。

1番目は、
彼は、手ぶり見ぶりを交えながら説明してくれました。

親指と人差指がタイプA,中指と薬指がタイプB、
小指がタイプC、
で、プロセスが各々あって、AもBもいけるやつとか、
いろんな可能性を考えると、とか...
その際は、いくらSELinuxでも破綻する。
だから、パス名の方が優れている。

もう一つのfsckの話は、階段を降りている最中で、
一生懸命何か説明したかったみたいです。
たぶん、fsckの話したのは、私がわかる範囲で
説明しようと思ったと思います。
でも私は、
シェルに落ちてfsckで苦労したことあるんだよね。
でも、fsck ーy で回避したんだよなってイメージであまり聞いていませんで、
でも、とにかく本人は真剣に話していました。
だから、言葉をかえれば、もっとわかるのかも知れませんけど...。

私は、それよりFC5の設定出来ないのをどうするか教えてよって
言いたかったんですが、崇高な話がお好きなようで...結局
彼の人間性に触れてよかったですけど、具体的な話は彼の品格を落とすようなので、
あえてしませんでした。まあ、私の問題なんで...。
それは、解決したら発表するまでですから。

ちょっと、厳しいこと言うようですが、

TOMOYOは、いつも破綻すると言っていました。
原語では、"TOMOYO breaks every time." だったかな。
それは、exec()を使っているからだ、と私は聞いた気がします。
でも、意味がわからないので、
「ふーん、そうなんだ。」としか言えませんでした。

私はユーザなので、深いところはわかりません。

とりあえず、自分的には、インターフェースを理解するのがいいと思って、
今日全部印刷してみましたら、

20センチ位の厚さになりました。マジかよ...。

明日は、思う存分議論してください...。

On Wed, 26 Apr 2006 10:29:31 -0400
Yuichi Nakamura wrote:

>
> 中村@私も勉強会行けない です。
>
> On Wed, 26 Apr 2006 11:09:35 +0900
> "Shintaro Fujiwara" wrote:
> > SELinuxにはラベルがあり、パスより優れているそうですが、
> > パスのほうが優れている点が2点有るそうです。
> > それは、同一フォルダ内にいくつかのラベルがついているときと、
> これはすぐ分かりました。
> 答えは講演までの秘密で(^^;
>
> >fsckのときだそうです。
> fsckですか。なんだろう。
>
> lkmlでのAppArmor(Novellの人々) vs SELinux(NSA,Redhat)
> の大議論↓を見てると、
> http://marc.theaimsgroup.com/?t=114546971700006&r=1&w=2
>
> SELinux側は、
> 「パス名は全くお話にならない」
> とずーーっと言ってます。
> 思想的な理由ではなく、技術論としてお話にならないと。
>
> 以下が主な理由なようです。
> - ポリシが分析できないので、セキュリティホールが混入する(これが一番根本的な理由)
> つまり、重要データにアクセスできる経路を特定できないので、
>  重要データを守れているつもりが、実は抜け道があるという最悪の事態になる。
> - Russellと同じく、「同一フォルダ内にいくつかのラベルがついているとき」
>
> けど、皆を説得しきれてないように思えます。
>
>
> ---
> Yuichi Nakamura
>

投稿者 xml-rpc : 2006年4月27日 00:09
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/35507
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。