2006年4月28日

[selinux-users:01553] Re: ラベル・パス名


すいません。

恣意的な言い回しになってしまって。

たとえば、apacheはいくつもプロセスが立ち上がります。
ちなみに、私のサーバをお見せすると(いいのかよ...)、

[root@xxxxx ~]# ps -efZ |grep httpd
system_u:system_r:httpd_t root 1681 1 0 Apr23 ? 00:00:00 /usr/local/apache2/bin/httpd -k start
system_u:system_r:httpd_t nobody 1687 1681 0 Apr23 ? 00:00:00 /usr/local/apache2/bin/httpd -k start
system_u:system_r:httpd_t nobody 1688 1681 0 Apr23 ? 00:02:57 /usr/local/apache2/bin/httpd -k start
system_u:system_r:httpd_t nobody 1689 1681 0 Apr23 ? 00:02:15 /usr/local/apache2/bin/httpd -k start
system_u:system_r:httpd_t nobody 1692 1681 0 Apr23 ? 00:02:41 /usr/local/apache2/bin/httpd -k start
system_u:system_r:httpd_t nobody 1943 1681 0 Apr23 ? 00:02:20 /usr/local/apache2/bin/httpd -k start

となっています。

全て、httpd_tというドメインで走っています。
これがTOMOYOだと、宴会の時見せていただいたような、ツリー構造でいくつも分岐しているという
事なんでしょうか。

そうすると、セキュリティ的には、かえって難しくなるんじゃないのかなという疑問がわきます。

SELinuxならば、apacheがいくつ子プロセスを生んでも、httpd_tであり、継承されたとしても
その枠の中でしか動作できない(抜け道がなければ)はずです。

そうすると、TOMOYO は、every time breaks なので、apacheのプロセス(forkっていううんですか?)
は、どんななっているのかな、と思いました。

すいません。ちょっと眠いです。
おやすみなさい。

On Thu, 27 Apr 2006 17:59:30 +0900
Tetsuo Handa wrote:

>  熊猫です。
>
> > TOMOYOは、いつも破綻すると言っていました。
> > 原語では、"TOMOYO breaks every time." だったかな。
> > それは、exec()を使っているからだ、と私は聞いた気がします。
> この break は「分岐する」という意味だと思います。(^^;
> ( http://www.alc.co.jp/ で break を検索するとたくさん出てきます。)
>
> SELinux では複数のプログラムを同一ドメインで動作させることができるのに対し、
> TOMOYO では execve() をするたびにドメイン遷移を行うので
> 複数のプログラムを同一ドメインで動作させることができません。
> TOMOYO のドメインは を基点としたツリー構造なので
> 常に分岐しているように見えるわけです。
>

投稿者 xml-rpc : 2006年4月28日 00:41
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/35603
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。