2006年10月 8日

[selinux-users:01778] 最近の動向(Re: MMCS


中村です。

On Sat, 07 Oct 2006 22:14:06 +0900
Shintaro Fujiwara wrote:

藤原さんの投稿に便乗して、最近の動向について補足させてください。

> 現在のSELinuxの動向をざっとまとめます。
> 大きな流れとして、ラベルをつけたネットワークというんでしょうか。
> ネットワークの細部にまで立ち入って、
> ラベルを付けましょうという流れがあります。
> はっきり言って、キリがないと思います。
> object class や permission が
> バカスカ増えそうです。
> まあ、勉強のつもりでつき合うと益があると思います。
これは、secmarkというやつです。
詳細は、
http://james-morris.livejournal.com/11010.html
Fedora Core 6-test3に入ってました。

ソケットとポート番号に関する制御は、今までのものが残っていました。
が、ネットワークアドレスと、NICに対するアクセス制御は、
secmarkに置き換わってました。

なんでも、iptablesと連携して、iptables側で、ラベルをつけるようです。
で、iptables側も特殊な設定をしなくてはいけなくなるという。。

とはいえ、
絶対使わなければならない機能ではなさそうですので、ご安心を。。

> そのほかにもいくつか流れがありますが、
> 春先に来日されたラッセルさんが、
> Dan Walshさんと激論を(何ヶ月も前から)かわしています。
> ラッセルさんは、MCSが今のままではダメだと
> お考えのようで、(発表を聞かれた方は理解したと思いますが...。
> 私は聞けませんでしたが...。)
> RHEL5の発表に間に合わせるかどうかのつばぜり合い...
> Dan Walsh さんは、MMCSを導入するつもりは
> さらさらない様で、うっちゃっていたところに、
> ラッセルさんの猛攻が...。
MMCSについては、
http://marc.theaimsgroup.com/?t=116013316300001&r=1&w=2
のスレですね。

> 日本人にはたぶんできませんよねー。
私には無理っす。

そのほかに、Fedora Core 6-test3を触ってて気付いた変更点を。
1) setroubleshoot
http://fedoraproject.org/wiki/SELinux/setroubleshoot

2) keyというオブジェクトクラスが増加。
 カーネル2.6.18のソースの、Documentation/keys.txt参照してください。
http://www.linux-m32r.org/lxr/http/source/Documentation/keys.txt

3) auditを有効にしたとき、デフォルトで「PATH」エントリが出なくなってしまった
 なので、フルパス情報がログに出なくなった。
 fedora-selinux-listに質問したら、
ダミーのauditルールを/etc/audit.rulesに登録すれば、PATHエントリが復活するらしいです。
 実際どうかは調査中です。


> ちなみに、私は、クライアントをとことん不便にさせるOSを
> Knoppixで製作中でーッス。
> もう、やることが増えすぎてお手上げなので、とりあえず朝まで飲むしかありま
> せん。
私も、seeditのアップデートで手一杯な日々です orz
# 英語ページリニューアルしました。-> http://seedit.sourceforge.net/

Yuichi Nakamura


投稿者 xml-rpc : 2006年10月 8日 00:17
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/47229
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。