2006年9月25日

[selinux-users:01757] Re: 仮想化、AppArmor, SELinux

 熊猫です。


 TUT304_final.sxi を開くために OpenOffice.org 2.0 をインストールしようとして
エラーが出るのでおかしいなと思ったら、 NTFS の暗号化属性が有効になっている
フォルダに解凍されたのが原因で Windows インストーラがファイルにアクセス
できなかったというオチでした。(^^;
 私の環境で WindowsUpdate のダウンロードが失敗していたのも

何故か暗号化されていたカタログファイルが原因だったようだし・・・。
ログインしているユーザとは異なる権限で動作するからなのでしょうが、
暗号化って思わぬところでトラブルの元になるんですねぇ。


> Appears to provide strong isolation, but actually not that hard to break out of
Xen 2.0 when attacked with “crashme” survives for about 3 seconds っていうのは
ある環境でメモリ浪費のような攻撃をされると他の環境がそれに引き摺られて
クラッシュしてしまうとかいうことなのかな?

> AppArmorとSELinuxのパフォーマンスを実測して比較したら面白そうなんですが。
制御可能な項目が違うから「公正な比較」って難しいですよね。


Policy violations should be reported in terms of the high level policy specification,
not lower-level abstractions. というのは全く同感です。


 隔離技術の比較について、隔離の目的やセキュリティ強度の判断基準が違うような気がしました。

物理マシンによる隔離の目的
 負荷の高いものを分散することによる安定稼動
 侵入発生時に他の物理マシン上で動作するサービスへの影響の伝播を防ぐ

仮想マシンによる隔離の目的
 負荷の低いものを集約することによるコスト削減
 侵入発生時に他の仮想マシン上で動作するサービスへの影響の伝播を防ぐ

OSによる隔離の目的
 侵入される可能性を減らすことによる信頼性向上
 侵入発生時に当該マシン上で動作する他のサービスへの影響の伝播を防ぐ

というそれぞれ違う役割があり、「物理マシンや仮想マシンによる隔離」と
「OSによる隔離」を併用できるのは目新しいことではないでしょう。なので
> 基本的にはAppArmorの宣伝のようです。
やっぱり、 SELinux 対 AppArmor をやりたかっただけのようですね。(笑)

投稿者 xml-rpc : 2006年9月25日 13:23
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/46536
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。