2006年9月15日

[selinux-users:01753] Re: James Morrisさんとのミーティング

海外です。

> Jamesの発言は、意訳なので、正しくないかもしれないです。
> 追加&間違ってたら補足してください。>海外さん、面さん
では、補足トリビアを。

> 1. PostgreSQLのSELinux拡張について
> 海外さんが、Postgre SQLのSELinux拡張について考えていて、

> それについて説明。
> DBのテーブルや行にラベルをつけてアクセス制御するもの。
> Jamesは興味深そうで、米軍が欲しがるよとのこと。
> 某商用製品だと高いらしいので。
あと、Polyinstantiationについての質問を受けました。
その時は「できるよ」と思いましたが、後で考えると単純な方法では
ダメっぽいので、要検討事項です。
ちなみに、本家MLに出したRequest for Commentsは以下のスレッド。
http://marc.theaimsgroup.com/?l=selinux&m=115786457722767&w=2


> 3. jffs2
> 海外さんが、jffs2のxattr対応について説明。
> Jamesは、Redhatの$100 laptopに使えるんじゃないの?とのこと。
> なんでも、$100 laptopは、jffs2を使う予定らしい。
> SELinuxを乗っけるなら、海外さんの仕事が必須になる。
$100 Laptopというのは、OLPC(One Laptop Per Child)というプロジェク
トで提案されている、128MBのRAMと512MBのFlash-ROMを搭載したシステ
ムで、100万台のオーダーで作って発展途上国の子供たちに配布するとい
う話。
子供向けなのでセキュリティは重要 → SELinux → xattr/jffs2 という
話だったと思います。SELinuxの採用が規定路線なのか、可能性の一つだ
ったのか、ちょっと明確に覚えていません。


> - パケットにラベルをつける機能は2種類ある。CIPSOとxfrm。CIPSOは
> legacyなもので、Trusted OSとの互換性のためにある。MLSのラベルし
> か運べない。xfrmはTEのラベルも運べる。IPSecと組み合わせて使う。
IPsecの暗号化ポリシーとしてESPとAHがあるが、ペイロード全体を暗号化
するESPはパフォーマンスの面で問題があるので、AHの方が好みだと言って
いましたね。(AHは改ざん検知のみ可能)
CIPSOはIPヘッダオプションにラベルを詰め込むので、改ざんに対する耐性
がないとも。


ではでは。
--
KaiGai Kohei <kaigai@xxxxx>

投稿者 xml-rpc : 2006年9月15日 23:07
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46027
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。