2007年7月 9日

[selinux-users:01936] Re: 資料公開( Re: Re: SELinux ユーザ会勉強会無事開催

海外です。

> そこでPostgreSQLの時に聞きたかった質問ができなかったので、
> ここで聞かせてもらってもいいでしょうか?

はい、よろしくお願いします。m(_ _)m

> (1) 行レベルのセキュリティ設定

> (2) テーブルの継承時のセキュリティ設定
>
> (1) について。行レベルということは、各行をユニークに識別できる
> 値に対して、セキュリティを設定しなければならないと思うのですが、
> 実用上問題がない形で、実際指定できるのでしょうか?
> # レンジ指定とかで、セキュリティ設定する?

SE-PostgreSQLでは、security_context というシステム列を拡張しており、
このカラムを通して各タプルのセキュリティ属性にアクセスすることができます。
(oid列や、tableoid列と同じようなものと考えてください)

↓例えばこんな感じです
----------------------------
postgres=# select security_context,* from drink order by id;
security_context | id | name | price | alcohol
----------------------------------------------+----+--------+-------+---------
system_u:object_r:sepgsql_table_t | 1 | water | 100 | f
system_u:object_r:sepgsql_table_t | 2 | juice | 120 | f
system_u:object_r:sepgsql_table_t:Classified | 3 | coke | 110 | f
system_u:object_r:sepgsql_table_t:Classified | 4 | sprite | 110 | f
system_u:object_r:sepgsql_table_t:Secret | 5 | beer | 240 | t
system_u:object_r:sepgsql_table_t:Secret | 6 | wine | 320 | t
system_u:object_r:sepgsql_table_t:TopSecret | 7 | tea | 100 | f
system_u:object_r:sepgsql_table_t:TopSecret | 8 | sake | 280 | t
(8 rows)

postgres=#
----------------------------

この列はシステム列ですので、全てのテーブルの作成時に自動的に生成され、
また '*' では展開されないため、明示的に指定してやる必要があります。

> (2) PostgreSQLはテーブルパーティショニングで表の継承を使うとおもうのですが、
> その際のセキュリティの設定は、子テーブルなどに引き継がれるのでしょうか?

テーブル継承を行っても、親テーブルのセキュリティ属性が子テーブルに引き継がれる
ことはありません。子テーブルの生成時に、明示的にセキュリティ属性を指定するなど
の方法で、親テーブルと同じセキュリティ属性を持たせる必要があります。

また、継承テーブルに対する参照は、親テーブルと子テーブルの2つのテーブルに対す
る参照の UNION と等価ですので、継承テーブルに対するアクセス時には、両方のテー
ブルに対してアクセス権限が必要です。
(ONLY指定がある時には、親テーブルのみです)

> SE-PostgreSQLのほうは、実際にまださわれてないのですが、プレゼンを聞いていたときに、
> 上記のような疑問が起きました。「このドキュメントに書いてある」とかの情報でもよいので
> 教えていただければありがたいです。

網羅的な情報に関しては、"The security guide of SE-PostgreSQL"にドキュメント化
されています。ただ、継承テーブルに対する記述はありませんので、これは次版で追加
しておこうと思います。
http://sepgsql.googlecode.com/files/sepgsql_security_guide.20070701.jp.beta.pdf

Fedora 7 では、RPMを展開するだけでインストール完了ですので、
ぜひ試していただければと思います。

それでは

>> 中村です。
>> 先日の勉強会の資料を公開しました。
>> こちら
>> http://www.selinux.gr.jp/documents/20070704.html
>> よりどうぞ。
>>
>> Yuichi Nakamura
>>
>>
>>
>>
>
>
> --
> キムラデービー代表 木村明治(KIMURA, Meiji)
> http://kimuradb.com
> [News] COMPUTER WORLD 2007年8月号に「オープンソースDBの成熟度を計る」寄稿しました。
> http://www.computerworld.jp/magazine/mag/?magazine_id=200708
>
>


投稿者 xml-rpc : 2007年7月 9日 20:46
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/61349
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。