2007年6月23日

[selinux-users:01918] MACとconfinementという用語について


中村です。

LinuxカーネルのMLでSELinuxとAppArmorの喧嘩が延々と続いていますが、
喧嘩の原因が、なんとなく分かってきました。
SELinux陣営はAppArmorが誇大広告をしていると思っているようで、
それが絶対許せんというのがあり、
お互い感情的になってるように見えます。


で、我々も気をつけたほうがいいと思ったのが、
「MAC」と「confinement」という用語の使い方です。
AppArmorは、MACと、プロセスの動作のconfinementを実現している、
とうたっています。
しかし、これは、昔からセキュリティやっている人には許せんようです。
MAC,confinementは
軽々しく使ってはいけない用語なようです。
↓など数箇所でStephen Smalleyさんが怒ってます。
http://lkml.org/lkml/2007/6/22/144

MACについては、
TCSECのB1での定義
"The TCB shall enforce a mandatory access control policy over
all subjects and storage objects under its control."
というのがあります。
「all subjects」とあります。AppArmorは、
「選択されたアプリのみにポリシーを強制する」というAppArmorは、
この意味のMACじゃない、となります。

confinementについては、Stephen Smalleyさんいわく、
That would certainly help, although one might quibble with the use of
the word "confinement" at all wrt AppArmor (it has a long-established
technical meaning that implies information flow control, and that goes
beyond even complete mediation - it requires global and persistent
protection of the data based on its properties, which requires stable
and unambiguous identifiers).

情報フロー制御、完全な仲介、曖昧じゃない識別子(ラベル)
を備える、というキーワードがでてきます。
これまたAppArmorはconfinementを実現してないです。

用語の用法は怖いですねぇ(汗

ちなみに、最近のSELinux vs AppArmor議論をまとめると、
Chris Wrightさん(LSMの論文のFirst Author)の発言が一番的を得ています。
http://lkml.org/lkml/2007/6/22/424
双方をなだめています。。

Yuichi Nakamura

投稿者 xml-rpc : 2007年6月23日 15:10
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/60620
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。