2006年7月11日

[selinux-users:01675] Re: Tresys Brickwallのプレビュー版

面@LIDSの人のはずです。

先週末からBrickwallのテストをしています。(^^)
#微妙に会社絡みがあって、一般公開前から先行して
#テストしてたのですが・・・

Standalone(クライアント)版は無償で公開ですが、Enterprise版や
マネージメントサーバなども出る予定で、そちらが有償になる予定だそうです。


基本的にはReference PolicyをRHEL4に適用しているものです。

インストールしてみましたが、通常のRHEL4-U3で問題なく
インストールできました。

ただRHEL4でも、Dan Walshの作成している
「RHEL4でReference Policyを使うためのアップデートパッケージ」
ftp://people.redhat.com/dwalsh/SELinux/RHEL4_MODULAR/i386
をインストールしている場合には、競合がおきてインストール時に
エラーが出てインストールできませんのでダウングレード
しておいた方が良いです。

使用した感じでは、非常にわかりやすく設定が出来ます。

質問はまとめてTresysに連絡しましたが、

1. ソースが見れないと言う点がもどかしい。
2. system-config-securitylevelでbooleanを変更したら(一応、brickwallという
ポリシ名でbooleanが見れます)、brickwallには反映されない
3. samba.ppとかあるけれど、brickwallでは表示されない

で、返って来た解答は

1. Brickwallは「ポリシがわからない人でも使える」がコンセプトなので、
ポリシソースを見せる必要は無いと思う。バイナリポリシでもapolで
解析できるし。(でも、解析や検証に必要と言う事は納得するので、
個別対応するよ)。
2. Brickwallを使った時には、Brickwallからのみの設定変更をして欲しい。
system-config-securitylevelはポリシのソースを読まないで直接
現在のパラメータを読みに行くけれど、 Brickwallはポリシを読み込んで
設定を行う。そもそもBrickwallのコンセプトは、設定変更と言う
ものでは無くて「御手軽ポリシ作成ツール」なので、既存の状態変更
という形の使い方は考えていない(開発者に確認するけれど)。
3. Brickwall Standardは「クライアント版」なので、サーバ系の
アクセス制御部分の変更は考慮されていない。「Enterprise Client」では
そういうサーバ系のポリシの開発も出来るようにする。

という事です。

引続き、検証を続けていますが、現在わかっているのはこんな所です。
その他、テストとFeedbackは募集中だそうです。

http://www.tresys.com/products/brickwall-feedback

使いやすいツールですので、皆さんも是非一度御確かめを(^^)

OMO

On Mon, Jul 10, 2006 at 10:41:43PM -0400, Yuichi Nakamura wrote:
>
> 中村です。
>
> Tresysの製品(商用?),BrickWallのプレビュー版が出てます。
> GUIでSELinuxのネットワークアクセス制御を設定できると書いてあります。
> http://www.tresys.com/news/press31
> http://www.tresys.com/products/brickwall
> スクリーンショット:
> http://www.tresys.com/products/brickwall-screenshots
> クライアントもダウンロードできるようです。
>
> やれることは以下のように見受けられます。
> * boolean切り替え
> * ドメイン毎のネットワークアクセス権限の設定(どのポート、NICを使えるか)
> (semanageコマンドのnetif,portラベル付けのフロントエンドか??)
>
> Redhat EL4で動くそうです。
> Reference policyをバックポートしてるみたいです。
>
> ---
> Yuichi Nakamura
>
>

--
Kazuki Omo: omok@xxxxx
LIDS Japanese Information:
Japanese: http://www.selinux.gr.jp/LIDS-JP/index.html
English: http://www.selinux.gr.jp/LIDS-JP/LIDS_en/index.html
Diary: http://omok.livejournal.com

投稿者 xml-rpc : 2006年7月11日 19:26
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/39370
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。