2007年7月22日

[selinux-users:01959] Re: TOMOYO Linux OLS2007 BoF 報告

誰が誰と結婚するか興味あります。。

これは遷移とは別の話ですが、

僕は今、refpolicy のインタフェースを調べているんですが、
まとめ方によっては安全なインタフェースができあがります、
というか、できています。

これを利用して、ポリシ一発作成できると踏んでいますよ。
インタラクティブにして、まあ、Karl がやってますけど。

old policy の時と比べると、雲泥の差で、インタフェースが
盛りだくさんです。
命名規則を見れば、けっこう合理的にできているのがわかりますよ。

http://oss.tresys.com/projects/refpolicy/wiki/InterfaceNaming

07/07/21 に Yuichi Nakamura<himainu-ynakam@xxxxx> さんは書きました:
> On Sat, 21 Jul 2007 09:16:46 +0900
> "Toshiharu Harada" wrote:
> > SELinuxで、ドメイン(あるいはtype?)の遷移がとれるについて、
> > これはTOMOYO Linuxの動的なドメインの定義および遷移とは違うと
> > 私は思っています。ただ、それが事実かどうか確信を持てていませんし、
> > Stephenを説得もできていません。一応言いたいことについては、
> > LKMLへのスレッドでStephenに説明していますが、どうも
> > 通じていません。tomoyo-devの秋元さんが一連のスレッドについて
> > 解説していただいているURLをご紹介します。
> >
> > http://esashi.mobi/~matthew/wordpress/archives/83
> >
> > TOMOYOのポリシー自動生成を実現しているドメインの自動定義と
> > 分離、および状態分離(管理)はおそらく世界的に見ても
> > 過去例がない新しいものだと思っています。そのため、
> > その内容を言葉だけで伝えるのは大変難しいです。LKMLに投稿しても
> > 実際にインストールして試す人は例外的に少なく、BoFのような場で
> > 見てもらうのが一番有効です。StephenはBoFで確かに
> > デモを見てくれましたが、そのうえでどこまで理解してくれたかは
> > よくわかっていません。ひとつの壁、あるいは限界のようなものを
> > 感じています。
> 私も、完全に理解しきっていません。。
>
> 私はSEEditを作っています。
> SEEditは、
> 設定書式を、パス名ベースにすることで、
> 擬似的にAppArmor等を真似する、
> というものです。
> この作業の中で、
> パス名ベースのアクセス制御はSEEditで
> 完全には真似できないことは分かりました。
>
> TOMOYOのドメインについて、
> SEEditで真似出来るかどうかは分かってません。
>
> TOMOYO, SELinux(あるいはAppArmor)のドメインの違いを説明しようとすると、
> *なぜTOMOYOのドメインがSELinuxで実現できないかの説明
> *実現できない部分があったとして、実現できない部分がいかに重要か
> を示す必要がある気がします。
>
> LSM listでの議論をみてると、Stephenは,
> 「セキュリティは気軽に考えちゃいけない」ようなことを言ってたし、
> SEEditの時も、「いたずらに簡単にするとSELinuxの普通の機能を使ってもらえなくなる」
> ようなことを言われた覚えがあります。
> SELinuxリーダーだけあって、SELinuxに絶対の確信を持っていると思われます。
> 正面からやると、学界に問う必要もありそうです。
>
> あと、SELinuxとmarriageとなれば、
> 是非SEEditと一緒にやりましょう(汗
> やり残していることが一杯あります。
>
>
>

投稿者 xml-rpc : 2007年7月22日 08:13
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/61951
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。