2007年7月20日

[selinux-users:01946] Re: TOMOYO Linux OLS2007 BoF報告


中村です。

in message "[selinux-users:01945] Re: TOMOYO Linux OLS2007 BoF報告",
"Toshiharu Harada" wrote:
> 原田です。
>
> 07/07/18 に Toshiharu Harada<haradats@xxxxx> さんは書きました:

> > このWikiには記載していませんが、Stephenから、
> > 「ドメイン遷移履歴の生成/管理?はSELinuxでも
> > 対応しているよ」と言われました。
<略>
> SELinuxのドメイン生成の部分について、Stephenに質問した
> ところ下記の回答が送られてきました。引用部分が私の質問です。
教えて頂きありがとうございます。

> > Stephen, I have a question for you. I remember you told us
> > SELinux has domain generate/tracking? capabilities like
> > TOMOYO does. I asked Japanese SELinux users but no
> > answer was returned. Would you point me the information
> > resource (papers/url/file anything) on that?
>
> It is simply a matter of configuring domain transitions in SELinux using
> our regular type_transition statements and allow statements (or using
> the domain_auto_trans macros). Each domain transition in SELinux can be
> configured based on the caller's domain and the file's executable type,
> so you can easily express the invocation history in your policy, ala:
> type_transition local_login_t bash_exec_t:process local_shell_t;
> type_transition local_shell_t sudo_exec_t:process local_sudo_t;
> type_transition sshd_t bash_exec_t:process remote_shell_t;
> type_transition remote_shell_t sudo_exec_t:process remote_sudo_t;
>
> Thus, the new domain (local_shell_t vs. remote_shell_t or local_sudo_t
> vs. remote_sudo_t) tells you the security-relevant aspects of the
> invocation history. The SELinux decisions are still based on a single
> domain at a time, but that domain may encode the full (or selective)
> history.

ドメイン遷移のつながりが、履歴をあらわす、って言ってるのでしょうかね。
そう言われればそうですね。
#「パス名」での履歴ではないですが。
ドメイン遷移の場合は、ループが許されてますね。

> Now, what we don't presently have is a tool that will automatically take
> audit data and generate such a policy; our existing audit2allow doesn't
> automatically create new domains. Rather that would require the policy
> writer (using a tool like SLIDE) to decide where he wants to retain the
> invocation history and writing his domain transitions accordingly. But
> one could possibly create an interactive form of audit2allow that asks
> at each exec whether the user wants to create a new domain and if so,
> whether the user wants to preserve the invocation history by encoding it
> in the type name.
そういえば、SELinuxに対応した
自動生成ツールを昔原田さんのところが作ってませんでしたっけ?
実行時に全部ドメインを分けるっていうやつ?
↓あたりで発表した噂を聞きました。
http://www.jnsa.org/nsf2003/22.html

投稿者 xml-rpc : 2007年7月20日 23:00
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/61914
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。