2007年10月22日

[selinux-users:02037] Re: Linus降臨その2

岡島と申します。

この手の議論で毎回思うのですが、
「何に使うのか」にもっと絞って議論したほうがいいんじゃないですかね。

セキュアOS研究家にすれば、パス対ラベルベースの例の論争のような、

数学的次元が気になるのはわかりますし、
また、そんな基礎的な議論がLKMLに持ち込まれるのは、
Linuxが学術的最先端に接近している、というひとつの根拠でもあるので、
必ずしも無意味ではありませんが、
しかし、やはり、実用的観点から見れば、いまいちピンとこない面もあるでしょう。
そして、LKMLは、かなり、実用的観点が好きなんで・・・。

このまえ、**という有名CGIスクリプト(またはHTTPデーモン)にこんなバグがあった。
そのせいで、**という有名サイトがクラックされて大弱り。
それを未然に防止できる技術は、、、
というような観点から切り込めば、だいぶ話は違でしょう。
(というか、私がそういった情報がほしい)。

逆に、今の切り口ですと、
永遠に、
「で?それが何?」→「意味わかんねぇ」→「よそでやってくれ」
という反応から逃れることはできないと思います。


有限会社デジタルインフラ 岡島 純

----
>
>先日Linuxカーネルのメーリングリストで、
>Linusが怒ってましたが、
>再びLSM関連のスレがLKMLに立ってて、Linusが降臨されてます。
>
> http://marc.info/?t=119267292400005&r=1&w=2
>
>LSMを使ったものを、カーネルモジュール化できなくするパッチが
>James Morrisより提出され、commitされてますが、
>それって困るかも?という議論です。
>カーネル本体に入ってないLSMモジュールが困るかもしれないという話です。
>
>Jamesのパッチが入ると、
>例えば、SELinuxがデフォルト有効なFedoraに
>AppArmorやTOMOYO,LIDSを入れようとすると、
>カーネル全体のコンパイルが必要になってしまいます(よね?)。
>
>Linusは、Jamesのパッチを除く可能性について言っています。
>>- I applied it, but
>>I'm also perfectly willing to unapply it if there actually are valid
>>out-of-tree users that people push for not merging.
>カーネル本体に入っていないLSMなもので、いいものがあれば、
>Jamesのパッチを除いてもいいということ(だと思います)
>
>が、Linusがまた釘をさしてます。
> http://marc.info/?l=linux-kernel&m=119282650507507&w=2
>> The fact is, security people *are* insane.
>insaneって、狂ってるって意味ですよね。
>「こんないいLSMモジュール見つけたよ!」
>という投稿に対し「セキュリティ的にbrokenだ云々」という議論が始まる
>ことを防ごうとしているのだと思います。
>
>最近、SMACKのパッチがLSMのメーリングリストにccされてませんが、
>セキュリティ関係者の目につくとflameになりそうだから、
>それを避ける戦略なのですかねぇ。
>
>
>
>
>

投稿者 xml-rpc : 2007年10月22日 14:25
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/65510
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。