2007年12月14日

[selinux-users:02090] Re: セキュアOSの性能評価機能の公開

松田様、
武田@TOMOYOです。

> TOMOYO Linux2.0において,許可時のログを出力している関数は,
> tomoyo_write_audit_logのほかにもありますでしょうか.
> 測定時には,この関数が呼び出される,tomoyo_audit_write_logと
> tomoyo_audit_file_logの2つの関数をコメントアウトしてビルドしたカーネルを
> 用いて測定しています.

> このため,auditログによる性能への影響はないと考えているのですが,いかが
> でしょうか.

auditログの出力はその2つの関数で間違いありません。
ということは、auditログの影響は除去できていますね。 ;-)

open/closeが遅くなるのはこちらでも確認が取れていますが。
statが遅くなっているのが不思議です…(論文の表3)。
もし可能でしたら、測定の際に使用したポリシーとプロファイルを
お見せいただければ何か分かるかもしれません。

参考までにTOMOYOの出力についての薀蓄を。

TOMOYOの出力は大きく3つに分かれており、
バージョンごとに微妙に違っていてややこしいですが、
それぞれの出力先や意味はこんな感じです。

・ポリシー許可ログ
  ポリシー形式
  1系統と2.1ではprocfsやsecurityfsに、2.0ではauditで出力
  MAX_GRANT_LOGで制御
・ポリシー違反ログ
  ポリシー形式
  1系統と2.1ではprocfsやsecurityfsに、2.0ではauditで出力
  MAX_REJECT_LOGで制御
・情報もろもろ
  1行形式
  printkで出力
  TOMOYO_VERBOSEで制御

実際の運用で許可ログが必要ないならMAX_GRANT_LOGを=0(デフォルトは1024)に
しておくと、パフォーマンスが結構よくなります。

MATSUDA Naoto さんは書きました:
> 武田様へ
>
> 岡山大学の松田です.
>
> On Fri, 07 Dec 2007 14:59:46 +0900, Kentaro Takeda <k.takeda26@xxxxx> wrote:
>
>> 武田@TOMOYO Linuxプロジェクトです。
>>
>> TOMOYO Linuxの性能評価については、
>> 先月のComSys2007にて以下のような発表を行っています。
>> http://sourceforge.jp/projects/tomoyo/document/ComSys2007.pdf
>> また、非LSMですが、バージョン1.5.1の性能は以下のURLに載せています。
>> http://tomoyo.sourceforge.jp/wiki-e/?WhatIs#benchmark
>>
>> LSMPPの論文の中で、TOMOYO Linuxのバージョン2.0を使用されているようですが、
>> 実はこのバージョンはauditログが抑制できないため、ベンチマーク結果が
>> 悪くなるという難点がありますorz
>
> TOMOYO Linux2.0において,許可時のログを出力している関数は,
> tomoyo_write_audit_logのほかにもありますでしょうか.
> 測定時には,この関数が呼び出される,tomoyo_audit_write_logと
> tomoyo_audit_file_logの2つの関数をコメントアウトしてビルドしたカーネルを
> 用いて測定しています.
> このため,auditログによる性能への影響はないと考えているのですが,いかが
> でしょうか.
>
>
>> 先月リリースしたバージョン2.1はログの出力の抑制が可能になっています。
>> ぜひこちらで再測定してみてください。
>
> 今後の測定には,是非とも2.1を使おうと思います.
>
>
>> LSMPPの論文で使用されたバージョン2.0では、
>> open/closeの性能が252%遅くなっていると出ています。
>> 一方、上記ComSysの発表で使用したバージョン2.1では、
>> auditログの抑制により、100%程度にオーバヘッドが収まるという
>> 結果が出ています。
>> あと、statにはフックがかかっていないので遅くなるはずはないんですが…。
>> この辺、LMBenchはいろいろと繊細なので性能測定は難しい仕事ですね。
>>
>
>

--
武田健太郎 (Kentaro Takeda)
takedakn@xxxxx
株式会社NTTデータ 技術開発本部
SIアーキテクチャ開発センタ


投稿者 xml-rpc : 2007年12月14日 15:19
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/67616
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。