2007年12月17日

[selinux-users:02099] Re: セキュアOSの性能評価機能の公開

松田様、
武田です。

> 私は,lmbench2.5を使用しています.
> 試しに,lmbench3.0-a9で測定してみます.
手元で試してみてポリシーの違いの原因が分かりました。

make {results,rerun}

でベンチマークを実行した場合、STAT=/var/tmp/lmbenchな状態で
lat_syscall {null,read,write,stat,open} $STAT
というコマンドでlat_syscallが実行されるようです。(scripts/lmbenchより)
これは2.5でも3.0-a9でも共通なようです。

武田はベンチマークの実行バイナリlat_syscallを自作シェルスクリプトで
直接呼んでいたので、lat_syscall.cにハードコードされたデフォルトである
/usr/include/sys/types.hが
lat_syscall open
を実行したときに読み込みモードで要求されて
TOMOYOのポリシーとして学習された、と。

> lmbenchは,デフォルトで/usr/tmp/lmbenchというファイルへstatを行っている
> ので,/var/tmp以下へのアクセスが起こるのは問題ないと思います.
> (4 /var/tmp/\*というのは,権限与えすぎですね...)
lat_syscall statでは(TOMOYOのポリシーとしての)読み込みアクセスは発生せず、
学習されたのはlat_syscall openで発生したアクセスですね。
いずれにせよ、statではTOMOYOの処理は走らないはずなので、
アクセス許可が学習されることもなければ、性能にも影響が出ないはずです。

--
武田健太郎 (Kentaro Takeda)
takedakn@xxxxx
株式会社NTTデータ 技術開発本部
SIアーキテクチャ開発センタ


投稿者 xml-rpc : 2007年12月17日 15:12
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/67720
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。