2006年6月 9日

[selinux-users:01645] Re: 「セキュアOSに関する本音BOF」

熊猫さん

中村です。

On Fri, 9 Jun 2006 22:52:21 +0900
Tetsuo Handa wrote:
>  熊猫です。
>  「(SELinux に限らず)情報フローとは何か?」

> 「(SELinux に限らず)情報フロー分析とは何か?」
> 「(SELinux において)情報フロー分析を行うことで
> 何を保証できるようになるのか?」
> ・・・についての意識あわせをできないでしょうかね?
> どうも各人が考えている内容がバラバラであるような気がします。
> 「SELinux を使えば情報のフローを完全に保証できる」と
> いうふうに私には聞こえるので「本当なの?」と
> 反論しているわけですが、前述の3項目について
> どなたか説明していただけませんでしょうか?
> 「SELinux のアクセス制御なら応えることができること」
> 「SELinux のアクセス制御に期待していること」を
> 示していただくのでも結構です。

私も、説明はまだできないです。。
「ラベル、パスの利点、デメリット」を勉強している最中なので。
どちらも完全でないと思っています。
とにかく事実を知りたい、というのが私の立場です。

> 「SELinux を使えば情報のフローを完全に保証できる」と
> いうふうに私には聞こえるので「本当なの?」と
> 反論しているわけですが、
完全に保証できることはないと思います。
# 某所でちょっと議論しましたね(^^;

が、情報フローの「保証度合」は、
ラベルの方が、パスより上になるはずなのです。
参考 http://securityblog.org/brindle/
「保証度合が上になること」に意味があるかどうか、
というところにあります。

ついでに、私がSELinuxに対して感じている疑問を列挙してみると。。
1)
「SELinuxはIPCを制御できるから、AppArmorより上」という主張を、
lkmlで見かけました。
が、
SELinuxはTCP/UDPを使ったプロセス間通信は、ちゃんと制御できないんですよねぇ。
誇らしげに言ってしまって大丈夫なのかという疑問があります。

ドメインA,Bがあったとして、
「A->BのTCP/UDP通信可能」という制御はできません。
できることは、
- Aはxxx番ポートに接続可能
- Aはxxx番ポートでサーバーになることが可能
- Aは、eth0を使って通信可能
- Aは、IPアドレスxを使って通信可能
です。
「IPアドレスxかつポートx」を使って通信可能、のような組み合わせ指定もできません。
これでも、ある程度は、情報フローを制御できますが。。

2) 本当に情報フローawareなポリシを書けるのか?
情報フローをちゃんと分析して、実用的なポリシを書いた事例はない気が。

3) 理論的に本当にどうなのかのSELinux側の説明がない気が?

上で、SELinuxの欠点を列挙してますが、
とにかく「事実を知るため」です。
他のセキュアOSも叩けば沢山出てくると思います。

今MLで議論すると、パンクしそうなので、
オフラインで会って議論してみないといけない、と思います。
もしくはblogで議論?

野望としては、実際にどうなのかの考察結果を
英語で本場に送って議論なのですが、道のりは遠そう。。。

----
Yuichi Nakamura

投稿者 xml-rpc : 2006年6月 9日 23:59
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/37490
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。