2007年7月21日

[selinux-users:01952] Re: TOMOYO Linux OLS2007 BoF 報告

OK, よくわかります。

今回の TOMOYO の発表は、チャレンジだったと思うので、
半田さんのデモに(勢いで?)なったと思います。
外国に方には、あのやりかたは通じませんよ。
聴衆に背中を見せて説明してはいけません。

まず、アイコンタクト、次にアイコンタクト、

最後にアイコンタクト、微笑み、です。

説明の際は、半田さんと同等のスキルを持つ人が
説明し、半田さんはクリックに徹するか、
その逆が必要(2名一組)で、
もし、一人で説明するなら、レーザポインタは、
当該箇所をブレなく指しながら、顔(体)は聴衆に向け、
全員とできればアイコンタクトしながら、微笑みながら、
進める、という、神技が必要です。

結構、アメリカ人はこのへんがうまいです。
子供の時から鍛えられているからでしょうか。
原田さんも相当うまいと思いますが。。

思いきって、「TOMOYO の優位性を実証する(ドメイン遷移の...)」
とかいう、プレゼンをやってみるといいかもです。
じゃ、次のユーザ会でやりますか。。
盛り上がりそうですぜ。。

自分はクリックマンならできると思いますよ。

ちなみに、僕はSELinuxを使っているだけで、とてもわかっているとはいえません。

先ほど、本家のメーリングリストで、KarlさんとDanさんのやりとりの中で、
policyrep というのが出てきました。これ、なんだろう。。


07/07/21 に Toshiharu Harada<haradats@xxxxx> さんは書きました:
> SELinuxにも関連するので、もう少し続けても良いですか?
>
> 07/07/20 に himainu-ynakam@xxxxx<himainu-ynakam@xxxxx> さんは書きました:
> > > 07/07/18 に Toshiharu Harada<haradats@xxxxx> さんは書きました:
> > > > このWikiには記載していませんが、Stephenから、
> > > > 「ドメイン遷移履歴の生成/管理?はSELinuxでも
> > > > 対応しているよ」と言われました。
> > <略>
> > > SELinuxのドメイン生成の部分について、Stephenに質問した
> > > ところ下記の回答が送られてきました。引用部分が私の質問です。
> > 教えて頂きありがとうございます。
> >
> > > > Stephen, I have a question for you. I remember you told us
> > > > SELinux has domain generate/tracking? capabilities like
> > > > TOMOYO does. I asked Japanese SELinux users but no
> > > > answer was returned. Would you point me the information
> > > > resource (papers/url/file anything) on that?
> > >
> > > It is simply a matter of configuring domain transitions in SELinux using
> > > our regular type_transition statements and allow statements (or using
> > > the domain_auto_trans macros). Each domain transition in SELinux can be
> > > configured based on the caller's domain and the file's executable type,
> > > so you can easily express the invocation history in your policy, ala:
> > > type_transition local_login_t bash_exec_t:process local_shell_t;
> > > type_transition local_shell_t sudo_exec_t:process local_sudo_t;
> > > type_transition sshd_t bash_exec_t:process remote_shell_t;
> > > type_transition remote_shell_t sudo_exec_t:process remote_sudo_t;
> > >
> > > Thus, the new domain (local_shell_t vs. remote_shell_t or local_sudo_t
> > > vs. remote_sudo_t) tells you the security-relevant aspects of the
> > > invocation history. The SELinux decisions are still based on a single
> > > domain at a time, but that domain may encode the full (or selective)
> > > history.
> >
> > ドメイン遷移のつながりが、履歴をあらわす、って言ってるのでしょうかね。
> > そう言われればそうですね。
> > #「パス名」での履歴ではないですが。
> > ドメイン遷移の場合は、ループが許されてますね。
>
> SELinuxで、ドメイン(あるいはtype?)の遷移がとれるについて、
> これはTOMOYO Linuxの動的なドメインの定義および遷移とは違うと
> 私は思っています。ただ、それが事実かどうか確信を持てていませんし、
> Stephenを説得もできていません。一応言いたいことについては、
> LKMLへのスレッドでStephenに説明していますが、どうも
> 通じていません。tomoyo-devの秋元さんが一連のスレッドについて
> 解説していただいているURLをご紹介します。
>
> http://esashi.mobi/~matthew/wordpress/archives/83
>
> TOMOYOのポリシー自動生成を実現しているドメインの自動定義と
> 分離、および状態分離(管理)はおそらく世界的に見ても
> 過去例がない新しいものだと思っています。そのため、
> その内容を言葉だけで伝えるのは大変難しいです。LKMLに投稿しても
> 実際にインストールして試す人は例外的に少なく、BoFのような場で
> 見てもらうのが一番有効です。StephenはBoFで確かに
> デモを見てくれましたが、そのうえでどこまで理解してくれたかは
> よくわかっていません。ひとつの壁、あるいは限界のようなものを
> 感じています。
>
> --
> Toshiharu Harada
> haradats@xxxxx
>
>

投稿者 xml-rpc : 2007年7月21日 10:19
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/61923
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。