2007年9月26日

[selinux-users:01999] SELinux最新版

中村です。

NSAのサイトが更新されてます。
http://www.nsa.gov/selinux/news.cfm
SELinuxのユーザーランド(コマンド、ライブラリ)
の最新版が公開されています。

システム管理者的には、

semodule -DB
で、全てのアクセス拒否ログを出力するようになった
ってのが大きそうです。

こちらには,組込み機器対応(ライブラリサイズ削減)も入っています。
* libselinux, libsepolが分離された
* libselinuxを make EMBEDDED=yとしてビルドすると、
 必要最小限のlibselinuxがビルドされる

SELinuxのカーネルの最新版は、カーネル本体です。
開発版は、
James Morrisのgitから見れます。
http://git.kernel.org/?p=linux/kernel/git/jmorris/selinux-2.6.git;a=summary

カーネルのほうも、日本から出てる組込み対応が着々と入ってきてます。
* メモリ利用量削減
http://marc.info/?l=selinux&m=118822259001463&w=2
250Kぐらいの固定配列があったのを、
最大でも62Kぐらいしか確保されないように修正 
Andrew Mortonのツリーに入っています。

* read/writeのオーバーヘッド削減
http://lkml.org/lkml/2007/9/13/373

read/writeのオーバーヘッドが組込み用プロセッサ(SH4)だと100%以上
x86だと、10%ぐらいあったのですが、
これを削減し,
SH4では、10%ぐらいに, x86では3%以下になりました。
Andrew Mortonのツリーに入っています。

* avtabの探索高速化
SELinuxでアクセス可否判定をする際、、
AVCというキャッシュを見にいって、
AVCをミスした場合、avtabという構造体を見に行きます。
avtabという構造体を見に行く処理に
重いループがあったのですが、
そのループを軽くしています。
現在、以下で議論中です。
提出文 http://marc.info/?l=selinux&m=118956715414494&w=2
スレッド http://marc.info/?t=118767097300001&r=1&w=2


---
Yuichi Nakamura

投稿者 xml-rpc : 2007年9月26日 08:26
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/64524
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。