2007年6月24日

[selinux-users:01922] Re: MACとconfinementという用語について

もしかしたら、世界規模で外した(すべった)かもしれませんが、
こんなメッセージを投稿しました。

http://lkml.org/lkml/2007/6/23/247

Yuichi Nakamura さんは書きました:
> 中村です。
>

> in message "[selinux-users:01919] Re: MACとconfinementという用語について",
> Tetsuo Handa wrote:
>>  熊猫です。
>>> AppArmorは、MACと、プロセスの動作のconfinementを実現している、
>>> とうたっています。
>> というか、 TCSEC で定義されている confinement だという記述が
>> AppArmor 陣営の発言やドキュメントに登場したことあります?
>> 私はほとんどドキュメントを読んでいませんが、
>> 「AppArmor は TCSEC で定義されている confinement を実現している」とか
>> 「AppArmor は EAL の○○レベルに相当する」とかいう主張を
>> AppArmor 陣営から聞いたことが無いです。
> AppArmor(AA)の人々は、
> EALとかTCSECとかそういうキーワードは出したことはないはずです。
> confinementについては、
> http://forgeftp.novell.com//apparmor/LKML_Submission-May_07/techdoc.html
> のようなところで、「confine」という表現を頻繁に使っていますし、
> コマンドの出力にも「unconfined」とか、出ます。
> こういっただけでも、カチンと来る人はくるのでしょう(汗
>
>>> しかし、これは、昔からセキュリティやっている人には許せんようです。
>>> MAC,confinementは
>>> 軽々しく使ってはいけない用語なようです。
>> だから、 SELinux 陣営が MAC や confinement という用語を
>> AppArmor 陣営に使って欲しくないのなら、 AppArmor 陣営のやっていることを
>> 的確に表現できる用語を考え出して欲しいですね。
> で、AAの人も、じゃMACとかconfinementいう用語は使わない、
> というので同意したっぽいです。
> その代案として、Stephen Smalleyさんから出てきたのは、、
> "controls file accesses and capability usage"
> ですが、、、
>
>>> 「all subjects」とあります。AppArmorは、
>>> 「選択されたアプリのみにポリシーを強制する」というAppArmorは、
>>> この意味のMACじゃない、となります。
>> あれ?それを言ったら SELinux を targeted policy で運用することは
>> 「 MAC を実現している」とは言えなくなってしまいませんか?
> まさしくその通りな気がします。
> targetedポリシの存在そのものが、矛盾を抱えています。
> ただ、AAとの違いとして挙げられるのは、
> unconfined_tドメイン←→普通のドメイン
> の間の通信は制御できたりします。
>
> SELinuxとしては,
> 「理論的には、strictポリシ使えば全部強制できるからOK」ということなのでしょう。
>
>>> 情報フロー制御、完全な仲介、曖昧じゃない識別子(ラベル)
>>> を備える、というキーワードがでてきます。
>>> これまたAppArmorはconfinementを実現してないです。
>> プログラムの実行時には最大128KBの任意のデータを
>> コマンドラインパラメータや環境変数経由で渡せますけど、
>> SELinux はファイルディスクリプタの使用可否は制御するのに
>> プログラムの実行時の情報を制御しないのは
>> 情報フロー制御として問題ないのでしょうかねぇ?
>> ( /usr/bin/passwd が /bin/sh を実行すると仮定すれば、
>> /usr/bin/passwd が /etc/shadow のファイルディスクリプタを
>> /bin/sh に渡すことができない場合でも、 /etc/shadow の内容を
>> 環境変数経由で /bin/sh に渡すことができてしまいます。)
>> 私には SELinux も confinment を実現できているとは思えないのです。
> なるほど、
> コマンドラインパラメータや環境変数などには、
> 呼び出し元プロセスのドメインのラベルをつけるべきな気もしますね。
> NSAのMLに聞いてみたいです。
> #十分整理して聞かないと怖いですが
>
> Yuichi Nakamura
>

--
原田季栄 (Toshiharu Harada)
haradats@xxxxx


投稿者 xml-rpc : 2007年6月24日 09:45
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/60643
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。