2007年6月23日

[selinux-users:01919] Re: MACとconfinementという用語について

 熊猫です。

> AppArmorは、MACと、プロセスの動作のconfinementを実現している、
> とうたっています。
というか、 TCSEC で定義されている confinement だという記述が
AppArmor 陣営の発言やドキュメントに登場したことあります?
私はほとんどドキュメントを読んでいませんが、
「AppArmor は TCSEC で定義されている confinement を実現している」とか

「AppArmor は EAL の○○レベルに相当する」とかいう主張を
AppArmor 陣営から聞いたことが無いです。
エンドユーザにとっては、
mandatory access control と言われれば「強制的に行われるアクセス制御」を
confinement と言われれば「制限すること、限定すること」を指す用語であって、
TCSEC とは何かとか EAL がどうしたとかは知ったこっちゃ無いと思います。

> しかし、これは、昔からセキュリティやっている人には許せんようです。
> MAC,confinementは
> 軽々しく使ってはいけない用語なようです。
だから、 SELinux 陣営が MAC や confinement という用語を
AppArmor 陣営に使って欲しくないのなら、 AppArmor 陣営のやっていることを
的確に表現できる用語を考え出して欲しいですね。

> 「all subjects」とあります。AppArmorは、
> 「選択されたアプリのみにポリシーを強制する」というAppArmorは、
> この意味のMACじゃない、となります。
あれ?それを言ったら SELinux を targeted policy で運用することは
「 MAC を実現している」とは言えなくなってしまいませんか?

> 情報フロー制御、完全な仲介、曖昧じゃない識別子(ラベル)
> を備える、というキーワードがでてきます。
> これまたAppArmorはconfinementを実現してないです。
プログラムの実行時には最大128KBの任意のデータを
コマンドラインパラメータや環境変数経由で渡せますけど、
SELinux はファイルディスクリプタの使用可否は制御するのに
プログラムの実行時の情報を制御しないのは
情報フロー制御として問題ないのでしょうかねぇ?
( /usr/bin/passwd が /bin/sh を実行すると仮定すれば、
/usr/bin/passwd が /etc/shadow のファイルディスクリプタを
/bin/sh に渡すことができない場合でも、 /etc/shadow の内容を
環境変数経由で /bin/sh に渡すことができてしまいます。)
私には SELinux も confinment を実現できているとは思えないのです。

> ちなみに、最近のSELinux vs AppArmor議論をまとめると、
> Chris Wrightさん(LSMの論文のFirst Author)の発言が一番的を得ています。
> http://lkml.org/lkml/2007/6/22/424
> 双方をなだめています。。
ですねぇ。

投稿者 xml-rpc : 2007年6月23日 16:28
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/60621
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。