2007年7月21日

[selinux-users:01950] Re: TOMOYO Linux OLS2007 BoF報告

藤原さん、お久しぶりです。(selinux-usersへの投稿はいつも
拝見しています)

07/07/21 に Shintaro Fujiwara<shintaro.fujiwara@xxxxx> さんは書きました:
> オタワにおけるTOMOYO の奮闘ぶりを楽しく拝見いたしました。

あのページは、今後の方向性や進め方を決めるため、またtomoyoプロジェクトの
メンバーに状況を共有するために書いたものです。書きながら

考えを整理していましたが、妙に長くなってしまいました。
できるだけニュートラル、状況に忠実になるように心がけ、また
会場の雰囲気が伝わるようにしました。TOMOYO以外の「番外編」も
時間があれば書いてみたいと思っています。

> このスティーブンの発言は、とても参考になります。
> audit2allow は、やみくもにポリシを作るだけなので、
> 確かに、インタラクティブなところがあってもいいと思います。
> マクロが出るみたいですが、わたしもそういうのを作っていますよ。
> invocation history を保持したドメインを選択的に作成、というのは、
> 難しいでしょうが、できそうですよね。
> この点に関しては、TOMOYOが先を行っているといっていいんでしょう。

私はTOMOYOのプロジェクトマネージャなので、TOMOYOをどうしたら
良いかという視点で考えていますが、Stephenとの議論を続けると
それはおそらくTOMOYOのスコープを超えます。もっと言えば、
SELinuxをどう使いやすくする?という方向に進むでしょう。
そのとき、自分はどのような立場で関わるのかなと思っています。
(同じことが会社としてのプロジェクトとOSSとしてのプロジェクトに
ついても言えますが、既に自分は会社の業務を超えて動いて
います)

> 僕が考えたのは、ほっておくと危ないことが起こりそうなアクセスは、
> とりあえず、閉じ込めてドメイン遷移させておく。(ここまでは自動)
> そこで、一回再起動させる。
> 次に、閉じ込めたドメインをどうするかをやりたければやる。
> とりあえず一回閉じ込めればいいのかな、と思いますが。
>
> SELinuxは、base policy で重要なものはやってくれていて、その行為自体を
> 隠蔽しているので、アプリケーションについては、自由度が高い、
> と思っています。
> だから、自由にできるところで、差別化をし、いい加減なポリシ、
> 厳密なポリシ、ができると思います。
> 最終的にポリシをインストールする際、絶対にやってはいけないことは、
> libsepolが止めてくれます。

Wikiに書いたようにStephenは、SELinuxとmarriageしない?と
提案して欲しい意志を表明しています。また、それについて日本の
コミュニティが協力できるかも尋ねられ、「会社」がその障壁になるかも
質問されました。

日本からのOSSやLinuxへの関わりとして、単に会議やイベントで
発表するだけでなく、一緒に意見を交換して開発するようなことが
望ましい姿だと感じています。Stephenからもらったメールには
ここで転送した以外の内容も含まれており、それはTOMOYOの範疇を
超えて、SELinuxの議論になります。日本として、SELinuxや
Linuxに貢献できるきっかけとすることができることを
直感しています。SELinuxに習熟した人が必要です。
藤原さんは興味がありますか?(ありますよね)

> SELinuxには、
> SLIDE等を利用し、厳密にポリシを書きたい人はそうできる、
> 最小限閉じ込めればいいと思う人は、最小限のドメイン遷移で留める、
> という、自由度があると思います。
>
> ちなみに、僕のプログラムは、とりあえず閉じ込めて、2回目はどうする?
> ぐらいにしたいです。今はただポリシとインタフェースを出すだけなので。
> 正しいドメインに誘導でき、正しい(と思われる)ポリシを自動生成できたら
> うれしいですね。
>
> p.s.
>
> 熊猫さんが床にすわって説明している姿が、ほほえましかったです。

部屋の情景が想像できました?
熊猫さんの後ろに机が並んでいたわけです。私もなんだか面白いと思っていました。
写真はクリックするとアルバム(一覧)が表示されます。まだ掲載していない
写真がたくさんあるのでそのうち追加したいと思っています。

--
Toshiharu Harada
haradats@xxxxx

投稿者 xml-rpc : 2007年7月21日 08:58
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/61920
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。